Порядок обработки персональных данных работников службой безопасности

Обработка персональных данных

Закон №152 определяет обработку ПД как действие или систему действий, которые предпринимаются в отношении личной информации. Операции могут быть совершены как с применением автоматизированных средств, так и без них. В списке основных действий: сбор, систематизация, хранение, обновление или изменение, передача, предоставление доступа, блокировка, обезличивание, уничтожение. Большинство этих действий описаны в статье 3 закона «О персональных данных», а в статье 5 описаны принципы обработки ПД.

При трудоустройстве обработка личных данных происходит на самых разных этапах: при собеседовании и зачислении в штат, при заключении договора, в результате карьерного роста и других видах трудового взаимодействия. Работодатель при этом выступает в роли оператора — юридического лица, которое проводит обработку персданных.

https://www.youtube.com/watch?v=ytcreatorsru

►Пять действий с персональными данными, о которых до сих пор забывают кадровики и попадают на штраф

Статья 87 ТК России предоставляет работодателям самостоятельное право устанавливать порядок использования и хранения личных данных работников, при условии, что соблюдены Трудовой Кодекс и федеральное законодательство. В частности, следует выполнять нормативы статьи 86 Трудового Кодекса. Вот основные:

  • Для обработки персданных нужны основания и цель.
  • Передачу персданных производит сам их обладатель.
  • Нельзя сообщать личные данные сотрудника третьим лицам без его письменного согласия.

Для выполнения этих требований, следует зафиксировать во внутренних актах компании Правила защиты персональной информации сотрудников. Работников следует ознакомить с этими правилами под роспись и получить от каждого согласие на обработку. Чтобы подойти во всеоружии к возможным проверкам, следует подготовить:

  • Положение о политике компании в отношении обработки персональных данных.
  • Подписанные согласия работников на обработку их личной информации.
  • Приказ о назначении лиц, которые в вашей организации ответственны за работу с ПД.

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Ответственность работодателя

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов.

Таблица 2. Структура Положения о персональных данных работников

N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
    Вопросы, которые регулирует Положение
    Ссылки на нормативные акты. Указывают, на 
основании каких документов составляется 
Положение. 
В организациях, где работают государственные 
гражданские служащие, дается ссылка на: 
— Федеральный закон от 27.07.2004 N 79-ФЗ 
«О государственной гражданской службе Российской
Федерации»; 
— Указ Президента РФ от 30.05.2005 N 609 «Об 
утверждении Положения о персональных данных 
государственного гражданского служащего 
Российской Федерации и ведении его личного 
дела»; 
— нормативные акты субъекта РФ
2 Основные понятия. 
Состав персональных 
данных работников
Основные понятия. Даются определения понятий 
«персональные данные», «обработка персональных 
данных», «использование персональных данных», 
указывается срок хранения документов и т.д. 
Отдельно должно быть указано, что относится к 
персональным данным в конкретной компании с 
учетом ее особенностей (данные, используемые в 
работе, например сведения о работе на режимных 
объектах, об оформлении допуска к 
государственной тайне, о соответствии здоровья 
для профессий, связанных с тяжелыми и вредными 
условиями, и т.д.)
    Перечень документов организации, которые 
содержат персональные данные
3 Получение 
персональных данных 
работников
Процедура получения персональных данных. 
Указывается, что данные получают и обрабатывают 
на основании письменного согласия работника. 
Указываются случаи, когда согласие не нужно
4 Использование 
персональных данных
Цели использования личной информации сотрудников
5 Обработка 
персональных данных
Условия, соблюдаемые при обработке персональных 
данных работника
6 Передача 
персональных данных 
(доступ к 
персональным данным)
Порядок передачи персональных данных внутри 
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за 
нарушение норм, 
регулирующих 
обработку и защиту 
персональных данных
Указывают тех, кто несет ответственность за 
нарушение правил хранения и использования 
персональных данных
Предлагаем ознакомиться:  Возмещение ущерба по КАСКО при ДТП

Порядок обработки персональных данных работников службой безопасности

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами


п/п
Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка 
ООО «Черный лес»
03.10.2011 Евстахов
2 Положение об оплате труда, премировании и 
социальном обеспечении сотрудников ООО «Черный 
лес»
03.10.2011 Евстахов
3 Инструкция по информационной безопасности, 
утвержденная Приказом от 15.06.2008 N 1
03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности 
работников за ущерб, причиненный ООО «Черный лес»
03.10.2011 Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных


п/п
Ф.И.О. работника Дата 
ознакомления
Подпись
1 Алексеева Диана Николаевна 15.08.2011 Алексеева
2
6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов
7
8
9

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Порядок обработки персональных данных работников службой безопасности

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Нарушение Ответственность Норма 
законодательства
Нарушение установленного законом 
порядка сбора, хранения, 
использования или распространения 
информации о гражданах 
(персональных данных)
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000 
руб.
Статья 13.11 
КоАП РФ
Разглашение информации, доступ к 
которой ограничен (персональных 
данных), лицом, получившим к ней 
доступ в связи с исполнением 
служебных или профессиональных 
обязанностей
Для должностных лиц:
от 4000 до 5000 руб.
Статья 13.14 
КоАП РФ
Предлагаем ознакомиться:  Порядок оформления и условия получения материнского капитала в 2020 году: необходимые документы и образец заявления для оформления сертификата, требования к получателю, сумма и срок выплат

https://www.youtube.com/watch?v=ytdevru

Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

Образец приказа

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.

Может быть введена и новая должность.

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Вопросы, связанные с персональными данными работников, регламентирует Федеральный закон №152 от 27.06.2006. Его цель — защитить права на защищенность частной жизни, сохранение тайн личности и семьи.

Предлагаем ознакомиться:  Что такое ипотека в силу закона и в силу договора?

Статья 3 этого закона содержит основные определения. В частности, о персональных данных (ПД) сказано, что это информация, которая имеет отношение к физическому лицу. То есть, сведения, по которым человека можно однозначно идентифицировать, а также те, которые относятся к нему косвенно.

Четко очерченного законом списка таких сведений нет. К базовому набору относятся:

  • фамилия, имя, отчество;
  • дата рождения;
  • семейный статус и состав семьи;
  • данные об имуществе;
  • информация об образовании;
  • профессия и трудоустройство;
  • данные о доходах.

Положение о работе с персональными данными

Образец приказа

Образец приказа

Закон требует, чтобы лица, которые получают доступ к ПД, сохраняли их конфиденциальность. То есть не допускали попадания в третьи руки без согласия обладателя этих данных, кроме случаев, отдельно предусмотренных законодательством. Об этом сказано в 7-й статье ФЗ №152.

Информацию о работнике работодатель может получить из:

  • удостоверения личности (например, паспорт, военный билет, загранпаспорт); военного билета;
  • трудовой книжки;
  • номера индивидуальной страховки (СНИЛС);
  • водительских прав;
  • аттестата об образовании;
  • медицинской книжки.

Согласно статье 86 Трудового Кодекса, работодатель обязан обеспечить защиту и неприкосновенность сведений о сотрудниках.

https://www.youtube.com/watch?v=ytcopyrightru

Вот ключевые моменты, на которые надо обращать внимание при хранении и использовании ПД:

  • Информация о сотруднике, а также вся связанная с этим документация, хранятся в личном деле.
  • Если в процессе использования персданных необходимо передать их третьим лицам (обязательно согласие субъекта), следует уведомить тех, что сведения можно использовать только в тех целях, для которых они получены.
  • Внутри организации передавать данные можно только по правилам, установленным локальным актом, с которым работники ознакомлены под роспись.
  • Доступ к такой информации имеют только работники, чьи полномочия утверждены соответствующим приказом.
  • Нельзя требовать от сотрудника сведений о здоровье, кроме тех случаев, когда это необходимо, чтобы выяснить, может ли человек выполнять служебные функции.

Все правила передачи персданных описаны в статье 88 Трудового Кодекса.

Сотрудник вправе получить информацию о том, как используются его личные данные. Например, он может запросить отчет о том, кому и в каком объеме переданы сведения о нем. И работодатель должен такой отчет предоставить. Также следует обеспечить каждому сотруднику свободный доступ к его личному делу.

Порядок обработки персональных данных работников службой безопасности

Личные дела подлежат хранению и после того, как человек уволится. Это прописано в Перечне типовых документов Росархива. Срок хранения дел рядовых сотрудников — 75 лет, а папки руководителей и менеджеров высшего звена сохраняются навсегда.

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.

https://www.youtube.com/watch?v=ytadvertiseru

Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ссылка на основную публикацию
Adblock detector