Советы юристов
Назад

Как хранить персональные данные работников

Опубликовано: 20.06.2019
0
0

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе).

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

В год грядущий – во всеоружии

На протяжении последних шести лет законодатель неоднократно обращал внимание на вопрос защиты персональных данных граждан России. За это время был принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, регулирующий вопрос защиты персональных данных работника, введен ряд подзаконных нормативных актов, которыми каждый участник отношений, возникающих при передаче персональных данных, должен руководствоваться.

Повышенный интерес государства к нормативному обеспечению защиты персональных данных обусловлен большим количеством случаев мошенничества со стороны недобросовестных операторов, работающих с персональными данными и допустивших утечку этой информации и последующее ее незаконное использование преступниками.

Таким образом, в продолжение «линии защиты» в декабре 2009 года был утвержден Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации (приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630), который вступил в силу 26 марта 2010 года.

Принятие и введение в действие указанного выше Регламента фактически означает готовность государства перейти от нормативного регламентирования вопросов защиты персональных данных к активным «военным» действиям, а именно к проведению проверок в целях выявления нарушений требований действующего законодательства и применения мер ответственности к операторам.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные. Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок.  Само уведомление заполнить несложно. Его форму можно найти здесь. (ссылка на  ).

В каких случаях можно не уведомлять Роскомнадзор:

  1. При обработке персональных данных работников организации
  2. Если персональные данные включают только  фамилии, имена и отчества субъектов персональных данных.
  3. Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора.  Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.  
  4. Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать здесь). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.     

Готовимся к худшему – надеемся на лучшее

Прежде чем перейти к «подготовительной» работе, необходимо определить, к какой категории относится ваша организация:

  • исключительно оператор, обрабатывающий персональные данные в целях исполнения требований трудового законодательства (то есть в процессе трудовых отношений между работником и работодателем),и/или:
  • оператор, обрабатывающий персональные данные в ходе ведения обычной коммерческой деятельности (например: операторы сотовой связи; организации, проводящие анкетирование потребителей (физических лиц) в рекламных целях и/или в целях предоставления скидок и т. п.).

Далее, с учетом правового положения вашей организации и руководствуясь действующим законодательством, необходимо принять следующие меры.

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.  Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Если вы оператор-коммерсант

В главе 14 Трудового кодекса прямо указывается на обязательное наличие на каждом предприятии внутреннего локального нормативного акта, регулирующего порядок использования и хранения персональных данных (ст. 87 ТК РФ).

Как хранить персональные данные работников

Как правило, этим документом служит Положение о защите персональных данных работников (далее – «Положение»), но в целом допустимо включить соответствующий раздел в состав Правил внутреннего трудового распорядка.

Целью этого документа является задача определить меры защиты персональных данных работников при обработке таковых, условия их хранения, условия допуска сотрудников компании к таким данным, права и обязанности работников и работодателя по отношению к вопросу использования персональных данных каждого конкретного работника.

Безусловно, все вышеуказанные условия работы с персональными данными должны быть определены в строгом соответствии с ТК РФ, законом «О персональных данных» и требованиями подзаконных нормативных актов, перечень которых приведен выше.

Поскольку этот локальный нормативный акт является обязательным для каждого работодателя, а ТК РФ содержит прямое указание на право работников участвовать в разработке системы обеспечения гарантий, связанных с защитой персональных данных, естественно, необходимо ознакомить каждого работника, занятого на предприятии, с этим документом.

Документом, подтверждающим ознакомление работников с Положением, может быть либо отдельная расписка работника, форма которой должна быть указана как неотъемлемая часть Положения, либо можно использовать иные способы ознакомления работников с локальными нормативными актами (далее – «ЛНА») организации, которые применяются у конкретного работодателя (например: журнал ознакомления с ЛНА, лист ознакомления с ЛНА и т. п.).

Также в Положении необходимо определить перечень должностных лиц организации, имеющих доступ к персональным данным работников (разумеется, в целях исполнения своих должностных обязанностей) и предусмотреть форму документа, (например, «Соглашения о не разглашении»), которую каждый из таких должностных лиц должен будет подписать в подтверждение понимания своей ответственности в случае разглашения рассматриваемой информации.

В качестве дополнительной рекомендации, в целях исполнения требований ТК РФ в части использования персональных данных работников в коммерческих целях, которые не допускают такое использование без согласия работника, можно включить перечень случаев использования и объем используемой информации в Положении (например: в целях предоставления информации для участия в торгах, подготовки коммерческого предложения, рекламы компании на сайте и т. д.).

Таким образом, предлагая работникам ознакомиться с ЛНА, вы заранее им сообщаете и получаете их согласие на использование их персональных данных в коммерческих целях компании.

Говоря о технической стороне организации защиты персональных данных работников, тем же законом, изданным в 2009 году, который предоставил отсрочку, были внесены изменения в закон «О персональных данных», упраздняющие обязанность операторов по защите персональных данных с обязательным использованием шифровальных (криптографических) средств (Закон от 27 декабря 2009 г. № 363-ФЗ).

наличие сейфов с кодами доступа (и/или шкафов, запирающихся на замок, и/или отдельных помещений, закрывающихся на ключ или соответствующий код – для персональных данных, обрабатываемых без использования средств автоматизации). Информация о кодах или доступ к ключам должен быть только у допущенных к работе с персональными данными лиц.

В свою очередь персональные данные, которые обрабатываются в информационных системах (фактически это все базы данных, хранящиеся на серверах или в системных блоках компьютеров с использованием или без специализированных программ), также должны быть защищены с задействованием различных методов, в том числе таких, как:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • другие методы и способы, полный перечень которых определяется приказом ФСТЭК РФ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В итоге для готовности каждого оператора – работодателя к возможным проверкам на соответствие требованиям законодательства в области защиты персональных данных работников в будущем году необходимо иметь рабочую систему защиты персональных данных, содержащихся как на материальных носителях без средств автоматизации, так и в информационных системах, регламентированную с соответствующим ЛНА, разработанным с учетом действующего законодательства исключительно на основании технических ресурсов вашей организации.

В случае если вы не только работодатель, но еще и организация, которая в силу специфики коммерческой деятельности или вида деятельности получаете и обрабатываете персональные данные физических лиц, не связанных с вами трудовыми или гражданско-правовыми отношениями, то помимо организационно-технических мер, приведенных выше, также следует:

  • разработать и утвердить локальный нормативный акт, который определит не только способы обработки и условия хранения полученных персональных данных, но и цели, для которых вам таковые необходимы; при этом отдельное внимание надо уделить уничтожению полученной информации и обезличиванию;
  • при разработке методов и способов защиты персональных данных, обрабатываемых в информационных системах, придется особенно активно поработать с классификацией информационных систем, исходя из состава персональных данных, к которым такой оператор получает доступ, основываясь на приказе ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • в случае если при обеспечении защиты персональных данных в информационных системах будут применяться средства защиты с использованием шифрования (криптографии), то необходимо учитывать, что на основании статьи 17 Закона «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ ряд видов деятельности, связанных с обеспечением конфиденциальности информации, подлежат лицензированию;
  • в статье 22 закона «О персональных данных» закреплена обязанность за каждым оператором, который выступает в качестве такового, не только в связи с трудовыми отношениями, по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) о своем намерении осуществлять обработку персональных данных до начала их обработки. После такого уведомления в течение 30 дней оператор будет включен в реестр операторов. Однако этим же законом установлены случаи, в которых уведомление о предполагаемой обработке персональных данных не требуется.

Как хранить персональные данные работников

В дополнение ко всем вышеизложенным инструкциям важно запомнить, что на каждом предприятии, как правило, существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера, а следовательно, начинают обработку персональных данных такового, внося соответствующею информацию в журнал учета посетителей.

Для легализации этого процесса, исходя из приведенных выше нормативно-правовых актов, необходимо также и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем ЛНА (например: Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.).

Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ). Документы по сотруднику объединяются в личное дело. Порядок хранения и ведения личных дел вводит и контролирует работодатель. Личные дела руководителей компании, работников, имеющих государственные звания, и так далее хранятся постоянно. Личные дела других работников храните 75 лет. Ответственность по хранению, ведению, учету, выдаче трудовых книжек тоже возлагается на работодателя.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  • известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
  • передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  • доступ к данным получают только специально уполномоченные лица;
  • запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Как хранить персональные данные работников

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение. 
  • К административной ответственности относятся предупреждение или штраф от 3 до 5 МРОТ.
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают  персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя. 
  • Уголовная ответственность по ст. 137 УК РФ за незаконное распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо арест до 4 месяцев.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.

Хранилище

Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает,  что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ.

К нам едет ревизор!?

Возвращаясь к Административному регламенту проведения проверок Роскомнадзором, надо учесть, что проверочные мероприятия могут быть как плановые, так и внеплановые.

При этом плановые проверки будут назначаться как в отношении операторов, включенных в реестр, так и операторов, не включенных в реестр, но осуществляющих обработку персональных данных.

В свою очередь внеплановые проверки возможны в случае нарушений в области обеспечения защиты персональных данных операторами, информация о которых может быть получена проверяющим органом не только в ходе проведения плановых проверочных мероприятий, но и в случае получения соответствующей информации от третьих лиц, например, от работников предприятия, государственных органов, осуществляющих смежные контрольные функции.

, , ,
Поделиться
Похожие записи
Комментарии:
Комментариев еще нет. Будь первым!
Имя
Укажите своё имя и фамилию
E-mail
Без СПАМа, обещаем
Текст сообщения
Adblock detector