Цели обработки персональных данных (сотрудников в организации, клиентов), закон, примеры, в каких целях допускается, сколько целей

Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут. 

• Дадим определение персональным данным, согласно ФЗ:
• «Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».
• Какая информация относится к персональным данным: 

1. ФИО;
2. место прописки и проживания;
3. паспортные данные;
4. образование;
5. ИНН;
6. контактные данные;
7. сведения о работе;
8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные: 

• расовая, национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья,
• интимная жизнь.

1. Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.
2. В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.
3. Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

• Цели обработки должны быть конкретными, определенными заранее и законными.
• Обработка ПД, несовместимая с целями сбора персональных данных, не допускается. 
• Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя.

Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

Форма захвата email в обмен на бонус:

Форма регистрации и создания личного кабинета: 

Анкета для участия в программе лояльности: 

Страница чек-аута при оформлении заказа:

Регистрация через социальные сети:

Как работать с персональными данными работника, чтобы не оштрафовали

Работодатель, принимая персональные данные[1] от работника, обязуется хранить и обрабатывать их определенным образом. За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.

Каждый человек имеет определенный «набор» информации, с помощью которой его можно идентифицировать: Ф.И.О., дата рождения, образование, семейное положение, национальность, религия и многое другое.

Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.

Порядок работы с персональными данными

Шаг 1. Определяем, какие документы организации содержат персональные данные

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.

Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[2], гл. 14 ТК РФ.

• Персональными данными работника будет следующая информация:
• • фамилия, имя, отчество;
• • пол, возраст;
• • дата и место рождения;
• • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• • состояние здоровья;
• • гражданство;
• • место жительства;
• • номера телефонов;
• • семейное положение, наличие детей, родственные связи;
• • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• • изображение человека (фотография и видеозапись), которое позволяет установить личность;
• • финансовое положение;
• • деловые и иные личные качества, которые носят оценочный характер;
• • другие сведения, которые могут идентифицировать человека.

1. Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.
2. К документам организации, содержащим персональные данные работников, относятся:
3. • анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;
4. • копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании;
5. • трудовая книжка;
6. • личная карточка по форме № Т-2;
7. • трудовой договор и дополнительные соглашения к нему;
8. • подлинники и копии приказов по личному составу;
9. • документы оплаты труда;
10. • документы об обучении, оценке, аттестации работников;
11. • базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»);
12. • при необходимости – иные документы, содержащие персональные данные работников.
13. Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ:

Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников. Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных.

Шаг 2. Разрабатываем и вводим в действие положение о защите персональных данных

Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

Цель обработки персональных данных | Каковы цели обработки персональных данных в организации

При передаче информации о своей личности человек должен иметь уверенность, что его персональные данные не попадут в руки третьих лиц без его разрешения. В законодательство РФ внесены предупреждающие меры, которые должны защищать права граждан и их свободы.

В Конституции Российской Федерации, ФЗ № 152 «О персональных данных» содержатся требования по регулированию работы с персональными данными граждан. Законодательство признает права каждого человека на неприкосновенность его личной жизни, соблюдение семейной тайны.

Цели сбора информации о субъектах

Любой вид информации, которая прямо или косвенно относится к определенному гражданину, рассматривается как «персональные данные» (ПДн). Обрабатывать такие сведения – значит выполнять любые действия или операции с этой информацией. Операторам разрешается эти сведения:

• собирать;
• записывать;
• систематизировать;
• накапливать;
• хранить;
• уточнять;
• извлекать;
• применять;
• передавать;
• обезличивать;
• блокировать;
• удалять;
• уничтожать.

Выполнение таких действий должно осуществляться с определенными целями. В законе о персональных данных прописано, что обработка ПДн должна ограничиваться конкретно обозначенными целями, имеющими законные основания. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.

Перечень целей обработки персональных данных должен указываться в соглашении, которое предприятие подписывает с работником, клиентом, деловым партнером. Политика компании, касающаяся обработки ПДн, должна размещаться в местах с открытым доступом. 

Подписываемое соглашение должно содержать полный перечень целей, без сокращений «и т. п.; пр.; и т. д.». Они должны быть четко и полноценно обозначены, прописаны в учредительных, уставных бумагах, положениях, разработанных в компании, а также фактически выполняться оператором.

Понятие обработки ПДн

Совместно с подачей требуемых документов во время подписания трудового договора работник должен предоставить свое согласие на обработку ПДн.

Статья 2 закона о персональных данных относит к такой информации о физическом лице его ФИО, дату рождения, иные сведения, включая записи в трудовую книжку. Персональные данные разделены на три категории. 

К первой относится общедоступная информация, которая состоит из основных анкетных данных (ФИО, дата, место рождения, половая принадлежность).

Следующая группа ПДн – биометрические данные, состоящие из сведений о внешности и отдельных физиологических параметрах, если их можно определить визуально, и др.

К специальным сведениям относят данные о национальности, религии, работе, наличии судимости и пр.

ПДн относятся к разряду конфиденциальных сведений, кроме общедоступных. В связи с этим обрабатывать их можно только в случае получения разрешения физлица.

Обязательным является условие установления срока действия такого согласия на обработку ПДн.

Окончательным сроком, позволяющим совершать какие-либо действия с персональной информацией, может считаться конкретное число или событие (окончание срока действия трудового договора, выполнения каких-либо договорных обязательств и др., отзыв работником ранее данного согласия) – статья 9 ФЗ № 152, п. 4.

Цели обработки ПДн в организации

Каждое предприятие занимается сбором и обработкой персональных сведений. Избежать этих действий нельзя, так как эта информация крайне необходима для реализации в правовом поле трудовых отношений между наемным работником и работодателем.

Организация руководствуется следующими целями во время обработки ПДн:

• оформление, выполнение, прекращение гражданско-правовых отношений работниками, юрлицами, ИП, иными лицами в случаях, указанных в законодательстве РФ и в Уставе компании;
• организация работы с кадрами – учет сотрудников, обеспечение выполнения требований законодательства о труде, подписание и исполнение различных обязательств в отношении трудовых, гражданско-правовых соглашений;
• выполнение функций кадрового делопроизводства, помощь сотрудникам в оформлении на работу, освоении новой профессии, продвижении по служебной лестнице, использовании льгот, компенсаций;
• реализация требований законов о налогообложении в вопросах начисления, внесения налоговых платежей с доходов физлиц, ЕСН, пенсионных законов во время формирования, передачи в Пенсионный фонд данных персонификации относительно каждого получателя страховых выплат;
• внесение данных в первичную статистическую документацию по Трудовому, Налоговому кодексам, а также федеральным законам.

Цели обработки персональной информации в медучреждениях

В различных организациях цели обработки ПДн могут быть разными.

В медицинских учреждениях, к примеру, собираются данные о фактическом состоянии здоровья пациента, которые относятся к виду специальных. Можно обрабатывать ПДн физлица без его согласия (ст. 10 ч. 2 п. 4 закона о персональных данных) в следующих целях:

• постановка диагноза;
• профилактические мероприятия;
• предоставление медицинских, социальных услуг.

Эта норма справедлива в отношении ситуаций обработки ПДн врачом, который должен хранить врачебную тайну, что предусмотрено законами РФ. Но если получить согласие нет возможности, и ситуация для здоровья пациента и его жизни критическая, обработка ПДн может осуществляться без запроса разрешения от физлица.

Сведения о клиенте могут быть использованы с целью:

• предоставления ему консультаций, информации, услуг посредничества;
• подписания с клиентом договора и выполнения его условий;
• кадровой работы, предоставления бухгалтерских услуг;
• прочих действий, не запрещенных законами РФ.

Цели обработки ПДн в банковском секторе

В сфере предоставления банковских услуг при выполнении определенных банковских операций цели обработки ПДн могут быть следующими:

• открытие счета в банке, его ведение;
• денежные переводы;
• перечисление средств от физлица юридическому лицу без использования банковских счетов;
• покупка или продажа инвалюты;
• предоставление консультационных услуг, какой-либо информации, включая использование телефонной связи, электронной почты.

Не все просто с персональной информацией любого гражданина, будь то сотрудник какой-либо компании, пациент медицинского учреждения, клиент банка, любой другой организации.

Закон запрещает использовать персональные данные любого человека не только без его согласия, но также и в случае, если эти сведения не нужны для реализации конкретных целей (если субъект ПДн не дал согласия на эти действия).

В случае утечки персональных сведений любой гражданин имеет право подать жалобу в Роскомнадзор или обратиться в судебные органы. Поэтому обработка персональных данных должна вестись строго в рамках действующего законодательства.

Персональные данные работника в 2021 году: инструкция

14 апреля

35536

#CNT# data-template-html-inactive=В избранное #CNT#>

Персональные данные работника в организации — это то, с чем работодатель сталкивается постоянно.

Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.

Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.

Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это те сведения, при помощи которых можно идентифицировать человека.

Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.

Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.

Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».

О персональных данных в РФ информируют:

• Конституция России.
• Трудовой кодекс.
• Федеральный закон «О персональных данных» №152-ФЗ.
• Кодекс об административных правонарушениях.
• Уголовный кодекс.

Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.

Трудовой кодекс говорит о том, что сбор персональных данных работника кадровиком или руководителем может проводиться исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».

• В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.
• КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.
• Об общих требованиях к обработке персональных данных и основных нормативных актах читайте в этом материале.

Нормативные акты по работе с персональными данными устанавливают два важных понятия, которые необходимо иметь в виду руководителю и ответственному сотруднику кадровой службы, чтобы не навлечь на себя и на организацию огромные штрафы и судебные иски.

1. Избыточность.
2. Целеполагание.

То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.

Какие данные являются персональными:

• фамилия, имя, отчество;
• дата, место рождения;
• биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
• адрес прописки или фактического жительства;
• семейное положение, состав семьи; 
• биографические данные;
• профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
• сведения о доходах и имуществе;
• номера ИНН и СНИЛС; контакты – телефон, электронная почта;
• информация о воинской обязанности;
• медицинская информация и диагнозы.

О требованиях  №152-ФЗ  в области обработки и защиты персональных данных читайте здесь. 

Обычно выделяют четыре вида персональных данных, хотя в законах такой классификации нет:

1. Категория биометрических персональных данных. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
2. В специальную категорию персональных данных входят раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно.
3. Иные. Не вошедшие в эти категории.

Важно! До 1.03.2021 года в законе существовало понятие «общедоступные персональные данные». Это понятие упразднено. Теперь это звучит так — «персональные данные, разрешенные субъектом для распространения». То есть — никто не вправе распространять личную информацию о субъекте без его согласия на это. Более того, даже если сам субъект распространит свои персональные данные или они будут опубликованы в другом источнике, транслировать их можно только с его прямого согласия.

Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.

Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.

Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре.

Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным.

 Все упомянутые лица должны подписать обязательство о неразглашении данных.

Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.

Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.

Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:

• обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
• обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
• оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
• однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).

 О требованиях к локальным актам, систематизирующим обработку персональных данных в организации, читайте нашу статью. 

Ответственность за неправильное или небезопасное хранение данных очень серьезная. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.

Административная ответственность

До 75 тысяч рублей штрафа работодатель может заплатить за:

• сбор и обработка избыточной информации;
• отсутствие согласия работника на обработку данных;
• доступ третьих лиц к персональным данным сотрудников;
• игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).

Уголовная ответственность

По статье 137 УК РФ:

• Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
• То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.

Читайте об ответственности за разглашение ПДн в этом материале.

Правильно постройте процесс обработки персональных данных в организации, потому что они составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.

Когда личные данные работника попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.

Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных. Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе.

О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора. Почитать программу и записаться на курс можно по ссылке.

 

Организуем работу с персональными данными сотрудников

Все организации, у которых в штате есть сотрудники, сталкиваются с обработкой персональных данных.

Рассмотрим, какие именно сведения и документы содержат персональные данные работников, которые необходимо защищать от несанкционированного доступа, а также как организовать систему их защиты и какую ответственность понесут работодатель и работник, ответственный за сохранность данных, в случае нарушений.

Одним из видов охраняемой законом информации являются персональные данные. Как гласит ст. 23 Конституции РФ, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Но всякая ли информация будет защищаться? Посмотрим, каков порядок получения, хранения, защиты и передачи персональных данных.

В п. 1 ст. 3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) указано, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Как видите, конкретного перечня нет, достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.

Там же указано, кто обязан принимать меры по защите персональных данных.

Это и государственные органы, и юридические и физические лица, которые обрабатывают персональные данные, с использованием средств автоматизации или без них, если обработка персональных данных позволяет осуществлять поиск персональных данных.

Таким образом, практически все организации так или иначе сталкиваются с обработкой персональных данных1 как своих сотрудников, так и клиентов (при оформлении бонусных или скидочных карт). В этом случае их ­называют операторами (п. 2 ст. 3 Закона № 152-ФЗ).

Получение персональных данных

Рассмотрим регулирование защиты персональных данных работника в рамках трудовых отношений с работодателем.

Прежде всего следует очертить круг тех документов и баз данных, в которых содержатся персональные данные работников и которые необходимо защищать от несанкционированного доступа.

Так как понятие персональных данных включает в себя любую информацию, позволяющую идентифицировать работника, практически все документы, касающиеся сотрудников – как на бумажных носителях, так и электронные, будут ­являться носителями персональных данных.

К документам, содержащим персональные данные работников, можно, например, отнести следующие:

• анкету, автобиографию, личный листок по учету кадров, которые на практике часто заполняются работником при приеме на работу;
• копии документов, хранящиеся в личном деле работника: копии документа, удостоверяющего личность, документов воинского учета, документа об обязательном пенсионном страховании, свидетельств о ­заключении ­брака, рождении детей, документов об образовании;
• трудовую книжку;
• личную карточку;
• трудовой договор и дополнительные соглашения к нему;
• подлинники и копии приказов по личному составу;
• документы оплаты труда;
• документы об обучении, оценке, аттестации работников;
• базы данных, обрабатываемые автоматически (например, таблицы ­Excel, базы программы 1С);
• иные документы, содержащие персональные данные работников.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). Получаемые персональные данные должны соответствовать только указанным целям.

Запрашивать некоторую информацию прямо запрещено законодательством.

Например, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), а также данные работника о его членстве в общественных объединениях или его профсоюзной ­деятельности (п. 4 и 5 ст. 86 ТК РФ).

Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.

Пример 1. Отказ работника от предоставления данных

При трудоустройстве работника кадровик заполнял личную карточку по форме № Т-2, в которой есть раздел «Состав семьи», и попросил назвать фамилию, имя, отчество жены для внесения этих данных в личную карточку. Работник отказался сообщить данные, заметив при этом, что они не являются необходимыми для его трудоустройства или карьерного продвижения, а форма личной карточки не носит обязательный характер.

Все персональные данные сотрудника следует получать у него самого (п. 3 ст. 86 ТК РФ). Если информацию можно получить только у третьей стороны, то работник должен быть об этом уведомлен заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Это положение относится не к работникам, а прежде всего к соискателям, когда организация запрашивает рекомендации с предыдущих мест работ. Получение согласия является обязательным условием при направлении компанией запросов в иные организации, в том числе на прежние места работы, для уточнения или получения дополнительной информации о кандидате.

Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим, причем не для запроса информации, а для уведомления прежнего ­работодателя в порядке ч. 3 ст. 64.1 ТК РФ.

К сведению

Роскомнадзор подтвердил необходимость получения согласия соискателей (разъяснения от 24.12.

2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее – Разъяснения Роскомнадзора).

Делать это не надо только в том случае, если от имени соискателя действует кадровое агентство, с которым данное лицо заключило договор, а также при самостоятельном размещении соискателем резюме в Интернете, доступном неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (например, приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.).

Если сбор персональных данных соискателей осуществляется с использованием…

Хранение персональных данных в организации — использование ПДн работников и правила организации учета ПД

Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов.

Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя.

Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.

Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:

• за игнорирование правил в отношении ПДн сотрудников и заказчиков положены внушительные штрафы;
• при многократных нарушениях возникает вероятность потери клиентов и партнеров, а также несения не только административной, но и уголовной ответственностей;
• не будет возникать трудностей при прохождении проверок контролирующими структурами;
• удастся приобрести репутацию надежного партнера и работодателя;
• грамотно организованные обработка, хранение и использование персональных данных позволяют сократить время и трудозатраты отдела кадров, то есть можно будет не держать большой штат специалистов;
• снизится вероятность получения вызовов с суд по делам о неправомерном получении либо применении конфиденциальной информации граждан;
• не будет накапливаться ненужная документация;
• процесс поиска нужной информации о сотрудниках будет требовать минимальных усилий.

Какие сведения в организации относятся к ПДн?

Определение понятия «персональные данные» изложено в ФЗ-152 от 27 июня 2006, согласно которому это любые сведения, напрямую или косвенно касающиеся гражданина.

Более конкретным является определение, предоставляемое Роскомнадзором, в соответствии с которым к ПДн относится информация, позволяющая произвести идентификацию личности без дополнительных уточнений: Ф.И.О., мобильный номер, серия и номер паспорта, биометрика, СНИЛС, пароли к аккаунтам, ИНН и т.д.

Отдельно прописываются операции, которые можно с ней осуществлять. Сведения можно собирать, синхронизировать, обновлять, копировать, передавать, извлекать, удалять, обезличивать, блокировать, использовать и уничтожать.

Все фирмы и учреждения, которые нанимают подрядчиков, формируют штат сотрудников или предлагают клиентам заключить договор на предоставление услуг, а также владельцы сайтов с формами обратной связи являются операторами ПДн.

Каждому из них предстоит разобраться, где и как правильно должны храниться персональные данные сотрудников, клиентов и партнеров.

С целью минимизации или исключения ошибочных действий, следует сориентироваться в законодательных требованиях, подобрать оптимальный вариант сохранения сведений (на бумажных либо на электронных носителях), определиться с количеством сотрудников в штате и направлением деятельности, а затем приступать к непосредственным действиям по обеспечению защиты конфиденциальной информации. Будьте готовы к тому, что на разработку как технических мер информационной безопасности ПДн, так и приведение бизнес-процессов компании в соответствие с положениями ФЗ-152 придется выделить дополнительные финансовые ресурсы и время.

Хранение персональных данных работников

Работодатель несет ответственность за информацию, которую получает от нанимаемого персонала, причем это касается всех категорий сведений, начиная от семейного положения и образования, заканчивая адресом проживания и прошлыми местами трудоустройства. В список документов, содержащих ПДн, за которые отвечает руководство компании, входят:

• удостоверяющий личность документ — гражданский, заграничный паспорт или паспорт моряка;
• трудовая книжка, кроме ситуаций, когда речь идет о первом трудоустройстве;
• полис государственного пенсионного страхования;
• военный билет;
• дипломы и свидетельства о получении того или иного образования, повышении квалификации;
• разрешения на выполнение узкоспециализированных (в том числе опасных) видов работ;
• идентификационный код налогоплательщика.

Для принятия на работу будущий сотрудник должен предоставить документы в бумажном либо электронном виде в установленной законом форме. Обязательным является заполнение формы Т-2, где предстоит указать общие сведения и информацию о приеме на ту или иную должность.

В будущем именно в личную карточку вносят пометки о смене департамента или специализации, повышении или понижении в должности, прохождении аттестации, повышении квалификационного уровня, переподготовке, наградах и социальных гарантиях.

Дополнительно прописывается контактный телефонный номер и место проживания (формальное и фактическое).

Организация учета и хранения персональных данных в соответствии с законодательными нормативами — зона ответственности работодателя, которому предстоит:

• выбрать место для размещения документов;
• назначить лиц, которые будут нести ответственность за сохранность носителей информации;
• установить режим доступа и круг людей, которые будут иметь право работать с ПДн;
• принять профилактические меры от кражи и передачи конфиденциальных сведений третьим лицам;
• получить письменное согласие на использование личной информации от каждого сотрудника;
• выдать локальные документы, регулирующие операции с ПДн, и позаботиться о том, чтобы их содержание было донесено до персонала.

Естественно, часть вопросов можно переложить на плечи подчиненных, но вот подписывать внутренние положения, приказы и т.д. должен именно руководитель, и ему необходимо четко понимать, как устроен процесс обеспечения безопасности ПДн.

Основные правила хранения и использования персональных данных оператором

В зависимости от сферы деятельности, масштабов организации и других факторов система обработки личной информации может существенно отличаться.

Часть компаний предпочитает «по старинке» использовать бумажные носители, другие переходят в полностью электронный формат работы, хотя чаще всего наблюдается комбинированный вариант.

ФЗ-152 и правительственными постановлениями предусмотрены общие условия хранения персональных данных в организации, которых должны придерживаться все:

1. Сохранение любых ПДн осуществляется в течение срока, который прописывается в соглашении либо необходим для достижения целей использования сведений.
2. Когда исчезает потребность либо достигается цель обработки, информацию нужно обезличить или уничтожить, если иного не предусматривают другие федеральные законы или подзаконные акты.
3. Любые действия в отношении ПДн не должны противоречить Трудовому Кодексу РФ, Конституции и другим ФЗ.
4. Полученные через электронные или иные источники сведения о сотруднике не могут быть основанием для принятия начальством фирмы решений, которые затрагивают интересы владельца ПДн.
5. Для защиты личной информации работодатель должен использовать собственные финансовые и прочие ресурсы.
6. В случае неправомерных действий со стороны фирмы работник имеет право подать судебный иск, где кроме компенсации (материальной и моральной) потребовать уничтожения ПДн из электронной базы либо с физических носителей.
7. Порядок обработки, хранения и использования персональных данных работников закрепляется в специальном положении и предусматривает проверку достоверности, предоставленной гражданином информации.
8. Каждый штатный и внештатный специалист должен получить разъяснения о собственных правах и расписаться в документе, который это подтверждает.
9. Передавая ПДн, работодатель обязан получить письменное разрешение на осуществляемые действия, кроме ситуаций, когда речь идет о здоровье и жизни гражданина.
10. Запрещено использовать личные данные для маркетинговых целей без согласия работника.
11. Все, кто имеет доступ к персональным данным работников, должны знать об ограничениях их обработки и необходимости соблюдения правил их хранения.
12. Нельзя запрашивать сведения о состоянии здоровья, если эта информации не влияет на способность человека справляться со своими профессиональными обязанностями.
13. Личные дела и другие ПДн персонала, как правило, хранят в кадровом департаменте в виде бумажных документов (папок с файлами) или на флеш-накопителях, в электронных БД.
14. Если сведения получены не напрямую от гражданина, то его нужно проинформировать об источнике информации, целях обработки, предполагаемых пользователях и его правах, обеспечиваемых федеральным законом о ПДн.
15. Доступ к персональным данным должен быть только у представителей отдела кадров, бухгалтерии, службы безопасности предприятия и гендиректора, также частичные права на использование могут быть предоставлены тем, кто работает в секретариате, для выполнения определенных текущих задач.

Инструкция, как организовать хранение и использование персональных данных

И в ФЗ-152, и в ТК РФ четко прописано, что за безопасность личных сведений несет ответственность руководитель организации, которому для выполнения всех правил необходимо:

• разработать и выдать внутренний документ, определяющий ключевые аспекты, связанные со сбором, обработкой и хранением конфиденциальной информации о персонале. Каждый работник после выдачи локального акта должен будет с ним ознакомиться под расписку;
• составить и утвердить перечень обрабатываемых в организации ПДн, в том числе тех, которые передаются в Пенсионный Фонд, службы статистики, трудовую инспекцию и налоговые органы;
• определиться и официально назначить ответственных за операции с ПДн и защиту сведений, идентифицирующих личность;
• позаботиться о подготовке заявлений о согласии на обработку персональной информации, журналов учета и проверок — это необходимо на случай неожиданных или плановых проверок со стороны Роскомнадзора, ФСБ или ФСТЭК;
• выбрать место, где будут храниться персональные данные сотрудников, зафиксированные на бумажных носителях, и подписать соответствующий приказ. Наиболее ценные бумаги помещаются, как правило, в сейф либо запирающийся шкаф, которые опечатываются, причем личные дела и трудовые книжки положено хранить отдельно друг от друга.

После исполнения всех требований, предъявляемых к операторам ПДн, необходимо осуществлять контроль над соблюдением прописанных в локальных актах правил, а также отслеживать изменения в нормативно-правовой базе.

Для того чтобы поддерживать процесс обработки ПДн в организации в соответствие действующим требованиям необходимо периодически проводить независимый аудит, что позволит своевременно выявлять и устранять ошибки и несоответствия в документах, тем самым гарантируя сохранность и защиту персональных данных сотрудников и клиентов.