Правоконтроль
Семейное и Гражданское право

Организация защиты персональных данных работников

Финансовые споры 27 мая, 2023

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Организация защиты персональных данных работников». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Какие меры необходимо предпринять по защите персональных данных сотрудников?
2. Согласие работника на обработку персональных данных
3. Кому нужно защищать персональные данные
4. Что значит обрабатывать персональные данные
5. Когда согласие не нужно
6. Защита персональной информации, полученной из анкет
7. Рекомендации по формированию согласия на обработку персональной информации
8. Защита персональных данных
9. Хранение личных данных – законодательное регулирование
10. Меры защиты персональных данных
11. Что такое персональные данные
12. Административная ответственность
13. Организация защиты персональных данных
14. У обработки данных должна быть цель
15. Биометрические данные

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Кому нужно защищать персональные данные

    Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

    Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

    Что значит обрабатывать персональные данные

    Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

    • сбор;
    • фиксация;
    • систематизация;
    • накопление;
    • сбережение;
    • защита;
    • передача;
    • использование.

    Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

    1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
    2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
    3. Выбирать способы обработки нужно в соответствии с заявленными целями.
    4. Все требования касаются только полных и достоверных персональных данных.
    5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

    Когда согласие не нужно

    В разрешении на обработку ПД нет необходимости, если их субъект:

    1. Является участником договора.
    2. Подвергается судебному разбирательству.
    3. Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).

    Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:

    • сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
    • фото или видео с общественных мероприятий или полученные на платной основе;
    • ИНН без привязки к другой информации;
    • государственные номера транспортных средств.
    • данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
    • информация, предназначенная для передачи только внутри компании (группы компаний)

    Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

    Читайте также:  Льготы и выплаты донорам крови в 2023 году

    Защита персональной информации, полученной из анкет

    Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:

    • любая такая анкета должна включать сведения о сроке ее рассмотрения;
    • нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
    • в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
    • у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.

    Рекомендации по формированию согласия на обработку персональной информации

    Госорганы дают следующие рекомендации:

    • В согласии должна четко указываться цель, у которой не должно быть нескольких возможных трактовок. Заявление должно быть полным и конкретным — помимо целей указываются способы и действия, применяемые работодателем к персональной информации работника.
    • Согласие на обработку персональной информации должно быть или в качестве отдельного документа, или включено в трудовой договор отдельным пунктом.
    • Согласие на обработку персональной информации должно соответствовать требованиям законодательства.

    Специалисты Первого БИТа решают задачи, связанные с выполнением требований и стандартов в области информационной безопасности, предъявляемые к организациям внешними регуляторами. К таким задачам относятся:

    • Обеспечение защиты персональных данных в соответствии законодательством РФ;
    • Введение режима коммерческой тайны, защита служебной тайны;
    • Выполнение приказов и рекомендаций Росминздрава, Минобрнауки и др.;
    • Аттестация рабочих мест и помещений;
    • Консалтинг при получении лицензий ФСТЭК и ФСБ.
    • Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
    • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
    • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

    Чтобы соблюдать 152-ФЗ, как минимум, надо:

    • зарегистрироваться как оператор ПД,
    • составить политику обработки ПД и согласие на обработку персональных данных,
    • повесить на сайт уведомление о сборе метаданных;

    Защита персональных данных

    Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

    К внутренней защите ПД относятся такие действия:

    • допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
    • назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
    • создание списка документации, в которой содержатся ПД;
    • выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
    • ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
    • периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
    • рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
    • создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
    • формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
    • описание процедуры удаления неиспользуемой информации;
    • своевременное выявление и устранение нарушений норм защиты ПД;
    • проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

    Внешняя защита ПД предполагает следующие действия:

    • пропускной режим;
    • соблюдение установленных правил приема посетителей и их учета;
    • использование приборов для охраны;
    • программная защита данных.

    Хранение личных данных – законодательное регулирование

    Отношения, связанные с обработкой персональных данных, регулируются:

    — федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
    — главой 14 Трудового кодекса РФ.

    Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

    Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

    Меры защиты персональных данных

    Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

    — установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
    — установить особый порядок выдачи пропусков и удостоверений работников;
    — использовать технические средства охраны;
    — использовать программно-технический комплекс защиты информации на электронных носителях.

    Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

    Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

    Читайте также:  Алименты на ребенка. Как и сколько платят в 2023 году

    Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

    В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

    Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

    Что такое персональные данные

    Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

    Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • пол;
    • адрес;
    • семейное положение;
    • должность (профессия);
    • зарплата, другие доходы;
    • владение недвижимым имуществом, денежные вклады и др.;
    • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
    • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
    • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
    • физиологические особенности, здоровье;
    • деловые и иные личные качества;
    • другие сведения.

    Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

    Таблица 1. Документы, в которых содержатся персональные данные работников

    N Документ Сведения
    1 Анкета, автобиография, личный
    листок по учету кадров
    (заполняется при приеме на
    работу)    		 Анкетные и биографические данные
    работника
    2 Копия документа,
    удостоверяющего личность
    работника    		 Ф.И.О., дата рождения, адрес
    регистрации, семейное положение,
    состав семьи
    3 Личная карточка (форма N Т-2,
    утверждена Постановлением
    Госкомстата России
    от 05.01.2004 N 1)    		 Ф.И.О. работника, место его рождения,
    состав семьи, образование, а также
    данные документа, удостоверяющего
    личность
    4 Трудовая книжка Сведения о трудовом стаже, предыдущих
    местах работы
    5 Копии свидетельств о заключении
    брака, рождении детей    		 Состав семьи, изменения в семейном
    положении
    6 Документы воинского учета Информация об отношении работника к
    воинской обязанности, необходимая
    работодателю для осуществления
    воинского учета работников
    7 Справка о доходах с предыдущего
    места работы    		 Ф.И.О., данные о сумме дохода и
    удержанного НДФЛ
    8 Документы об образовании Подтверждают квалификацию работника,
    обосновывают занятие определенной
    должности
    9 Документы обязательного
    пенсионного страхования    		 Ф.И.О., личные данные
    10 Трудовой договор Сведения о должности работника,
    заработной плате, месте работы,
    рабочем месте, а также иные
    персональные данные работника
    11 Приказы по личному составу Информация о приеме, переводе,
    увольнении и иных событиях,
    относящихся к трудовой деятельности
    работника

    Административная ответственность

    Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

    Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

    Нарушение Ответственность Норма
    законодательства
    Нарушение установленного законом
    порядка сбора, хранения,
    использования или распространения
    информации о гражданах
    (персональных данных)    		 Для должностных лиц:
    от 500 до 1000 руб.;
    для юридических лиц:
    от 5000 до 10 000
    руб.    		 Статья 13.11
    КоАП РФ
    Разглашение информации, доступ к
    которой ограничен (персональных
    данных), лицом, получившим к ней
    доступ в связи с исполнением
    служебных или профессиональных
    обязанностей    		 Для должностных лиц:
    от 4000 до 5000 руб.    		 Статья 13.14
    КоАП РФ

    Организация защиты персональных данных

    Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

    • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
    • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
    • соответствии паролей международным стандартам;
    • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

    У обработки данных должна быть цель

    Закон говорит нам, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. То есть, невозможна обработка персональных данных, в отношении которых мы не можем сформулировать цель их обработки.

    Самый яркий пример. Организация была наказана при проверке за то, что в офисе у кого-то на столе лежала копия чьего-то паспорта, и никто не мог вспомнить, что это за человек, и вообще какие отношения связывали организацию с этим человеком. Уже потом выяснилось, что просто кто-то забыл на столе. Соседка попросила снять копию, чтобы отнести в собес. В общем, сотрудник забыл. Проверяющий спрашивает: – Какова цель обработки персональных данных? Что это за человек? Подтвердите законность обработки персональных данных. И где согласие на обработку этих персональных данных? Естественно, эта организация ничего предъявить не смогла. Соответственно, сами себе, что называется, привнесли нарушение. И это тоже очень важный элемент.

    Читайте также:  Повышающий коэффициент на горячую воду в 2023 году

    Поэтому я всегда первым делом рекомендую организациям провести ревизию всех своих документов и определиться в отношении каждого документа, есть ли у вас цель обработки этих персональных данных. Если эти цели истекли давным-давно, то ничего этого у вас храниться не должно. Потому что, как говорит закон, обработка должна ограничиваться достижением. То есть, по сути, как только цель обработки персональных данных, для которой мы их собирали, достигнута, они у нас дальше храниться не должны. За исключением случаев, если это прямо предусмотрено законом.

    Например, трудовой договор с сотрудником закончился или был расторгнут заранее. По идее, цель обработки персональных данных достигнута, действие трудового договора закончено. Но по законодательству о бухучете, налоговому законодательству мы должны определенное время еще хранить эти документы, 5 или 6 лет, если я не ошибаюсь. Вот если прямо предусмотрено законом, тогда мы можем хранить дальше. А если уже и эти сроки истекли, и дальнейшее хранение этих документов никоим образом не регламентировано, соответственно, считается, что и цель достигнута, и все эти документы должны быть уничтожены.

    Биометрические данные

    А в случаях, если речь идет об обработке специальных категорий биометрических персональных данных или же если речь идет о передаче персональных данных за границу, форма согласия уже носит более жесткий характер.

    В части № 4 статьи № 9 «Закона о персональных данных» перечислены все обстоятельства, которые должны быть отражены в этом согласии. Просто берете из части №4 статьи №9 все пункты, копируете, вставляете на бланк организации, все, что можно заполнить заранее, то есть, цель обработки, характер действий с персональными данными, все, что вы можете сформулировать заранее, можете это вбить в эти формы и, фактически, человеку останется собственноручно ввести туда свои фамилию, имя, отчество, ну, и там, грубо говоря расписаться. Это существенно упрощает работу. Опять же, всегда рекомендую разбить все категории лиц, с которыми мы общаемся, на отдельные категории. Сотрудники организации — это одно. Лица, оказывающие вам услуги по договорам гражданско-правового характера — два. Добровольцы — три. Благополучатели — четыре. В отношении каждой категории лиц вы можете сформулировать, во-первых, объем персональных данных, который вам от них требуется, во-вторых, цели, для которых вы получаете эти персональные данные. Заложив это все заранее в согласие, вы значительно упрощаете работу, чтобы человек просто вписал туда свои фамилию, имя, отчество и расписался.

    Теперь, что такое специальные категории, биометрические персональные данные, трансзаграничные. Здесь возникают сложности потому, что специальные категории персональных данных — это персональные данные, которые касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Сведения о состоянии здоровья: сюда попадают все медицинские документы, диагнозы и так далее. В каждом случае, когда фигурируют сведения о состоянии здоровья, должно быть письменное согласие с собственноручной подписью по правилам, указанным в части № 4 статьи № 9 «Закона о персональных данных». От этого, к сожалению, никуда ни деться.

    Биометрические персональные данные, ну, нас это почти не касается потому, что биометрические персональные данные — это сведения, которые характеризуют биологические и физиологические особенности человека, на основании которых можно установить его личность, которые используются оператором для установления личности. То есть, не все фотографии или видеоизображения являются персональными данными, только в том случае, если они используются именно для идентификации личности. Самый простой пример. Ну, отпечатки пальцев и сетчатка глаза, это у нас все-таки еще в диковинку. Но бывают случаи, когда мы, например, арендуем офис, чтобы в него пройти, мы прикладываем пропуск, а у охранника на экране появляется наша фотография. Вот в этом случае фотография является биометрическими персональными данными, и они могут обрабатываться исключительно на основании нашего письменного согласия как субъекта персональных данных тоже в той в жесткой форме, о которой говорит часть № 4 статьи № 9 «Закона о персональных данных».

    Во всех остальных случаях, в принципе, я не могу себе представить, чтобы нас, как-то, интересовали биометрические персональные данные. Хотя, все может быть. А для обработки биометрических персональных данных там даже есть еще отдельное Постановление Правительства, поэтому если у вас все-таки осуществляется обработка биометрических персональных данных плюс еще надо будет ознакомиться и с тем Постановлением, которое есть все на сайте Роскомнадзора.

    Кстати, рекомендую сайт Роскомнадзора – он достаточно информативный, много внимания уделяется как раз теме персональных данных. Там создан целый портал, он так и называется «Персональные данные». В нем есть электронная библиотека, в которой собрана, во-первых, вся нормативно-правовая база, то есть, все тексты Законов и Постановлений Правительств, и приказов, как раз о которых я сейчас говорил. Плюс ко всему есть обзоры судебной практики, и есть разъяснения Роскомнадзора по определенным вопросам. Поэтому рекомендую пользоваться сайтом Роскомнадзора. Плюс ко всему им можно задать вопрос. Я лично пробовал задавать вопрос, отвечают в электронной форме очень оперативно, скажем так. Вот. Это что касается вопроса согласия.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *