Персональні дані співробітників забезпечення схоронності

Персональні дані співробітників забезпечення схоронності
кадри

Далеко не всі компанії приділяють належну увагу безпеці персональних даних своїх співробітників. Тим часом санкції за такі порушення скоро будуть збільшені. Про те, як не допустити порушень, за які покладені штрафи, ми і поговоримо в даній статті.

Для виконання своїх зобов'язань в рамках трудового, податкового та бухгалтерського законодавства роботодавець повинен використовувати і оперувати персональними даними працівника. Однак закон про персональні дані вимагає від роботодавця, який в даному випадку є «оператором персональних даних» та виконує «обробку персональних даних», забезпечити безпеку цієї інформації.

Правила, встановлені Федеральним законом від 27.07.06 № 152-ФЗ «Про персональних даних» (далі - Закон про персональні дані), стосуються не тільки тих організацій, які мають справу з клієнтськими базами даних. Дотримуватися вимоги цього закону повинні всі організації, в яких є хоча б один працівник. Пов'язано це з тим, що до персональних даних законодавці віднесли і ті відомості, які підприємство отримує від своїх співробітників, приймаючи їх на роботу. А це означає, що організація зобов'язана їх захищати в повній відповідності з законом.

Які дані є персональними

Згідно з Трудовим кодексом України під персональними даними працівників розуміється інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника.

Закон про персональні дані розширює і уточнює поняття.

Таким чином, кожен роботодавець, укладаючи трудовий договір, отримує інформацію, що відноситься до персональних даних.

Ця інформація міститься в наступних документах, що пред'являються працівником при прийомі на роботу:

  • паспорті;
  • військовому квитку (у військовозобов'язаних);
  • свідоцтві про присвоєння ІПН;
  • страховому пенсійному свідоцтві;
  • документах про освіту (в т. ч. і додатковій освіті, якщо працівник надає їх при прийомі на роботу або це потрібно при виконанні певних трудових функціях);
  • водійському посвідченні і документах на машину, якщо це потрібно у зв'язку з виконанням трудової функції працівника;
  • медичній довідці про проходження медичного огляду (медичній книжці), якщо це потрібно у зв'язку з виконанням трудової функції працівника.

Використання підприємством у своїй діяльності вищевказаних даних (збір, систематизація, накопичення, зберігання, уточнення, знищення, використання, поширення та передача) трактується законодавством як «обробка персональних даних». Всі ці операції в тому чи іншому обсязі виконуються в будь-якій організації і на будь-якому підприємстві.

Особливу увагу необхідно приділити поняттю передача персональних даних, так як на роботодавця в зв'язку з ним накладається ряд обмежень.

Так, роботодавець не має права:

  • повідомляти персональні дані третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю і здоров'ю останнього, а також інших випадків, передбачених законодавством РФ;
  • повідомляти персональні дані працівника в комерційних цілях без його письмової згоди;
  • запитувати інформацію про стан здоров'я, за винятком відомостей, які відносяться до питання про можливість виконання працівником трудової функції.

Крім цього, роботодавець повинен дотримуватися таких вимог:

  • попередити осіб, які отримують персональні дані працівника, що такі дані можуть бути використані лише в цілях, для яких вони повідомлені, і вимагати від зазначених осіб підтвердження, що це правило дотримане. Особи, які отримують персональні дані, зобов'язані дотримуватися режиму конфіденційності;
  • дозволяти доступ до персональних даних працівників лише спеціально уповноваженим особам, причому вони повинні отримувати тільки ті персональні дані, які необхідні для виконання конкретних функцій; передавати персональні дані представникам працівників у порядку, встановленому законодавством РФ, і обмежувати цю інформацію тільки тими персональними даними, які необхідні для виконання зазначеними представниками їх функцій.

Документи для роботи з персональними даними

Для того, щоб убезпечити себе під час перевірки збереження персональних даних, в компанії повинні бути наступні документи, які можна буде пред'явити на вимогу перевіряючих:

  • положення про персональних даних;
  • наказ про призначення відповідальних за роботу з персональними даними;
  • наказ про призначення відповідальних за забезпечення безпеки персональних даних;
  • заяви працівників про згоду на обробку персональних даних.

Положення про персональні дані

На виконання законодавства РФ, для забезпечення захисту прав і свобод працівника кожна організація зобов'язана розробити і прийняти положення про персональні дані співробітників (далі - Положення). Цей документ визначає, які саме відомості підлягають обробці і зберіганню на даному підприємстві.

У Положенні повинні міститися такі розділи:

  1. Загальна інформація.
  2. Основні поняття і склад персональних даних працівників.
  3. Збір, обробка та захист даних.
  4. Передача і зберігання даних.
  5. Доступ до персональних даних працівників.
  6. Відповідальність за порушення норм, що регулюють обробку і захист персональних даних.

З Положенням потрібно під підпис ознайомити всіх співробітників, включених до списку осіб, допущених до роботи з персональними даними.

Перелік оброблюваних даних співробітників

Далі буде потрібно затвердити документ, що містить перелік персональних даних, які реально використовуються в діяльності організації. Складаючи такий документ, не забудьте включити в нього всі відомості, які працівник письмово повідомляє про себе під час вступу на роботу, а також використовувані в подальшому при оформленні кадрової документації.

У цьому переліку повинні бути:

  • заява про прийом на роботу;
  • анкета співробітника;
  • особова картка;
  • особиста справа;
  • трудовий договір;
  • накази;
  • трудова книжка;
  • матеріали атестаційних комісій.

Якщо в організації є внутрішній документообіг, який містить відомості про співробітників (наприклад, звіти і матеріали, які складаються для акціонерів, засновників, головної організації і т. П.), То ці звіти теж потрібно включити в перелік. Крім цього, в переліку повинні бути вказані документи, що містять ті відомості про співробітників, які організація представляє в різні державні органи (податкову і трудову інспекції, органи статистики).

Штрафи нараховуються за одне порушення, а там, де система захисту персональних даних начисто відсутній, що перевіряє комісія найчастіше стикається з масовими порушеннями, внаслідок чого загальна сума штрафування стає досить значною.

Наступний етап роботи - підготовка та затвердження списку осіб, допущених до роботи з персональними даними. Цей документ затверджується наказом керівника і доводиться під підпис до всіх зазначених у ньому співробітників. До речі, наказ керівника про призначення відповідального за роботу з персональними даними та забезпечення їх захисту - перше, що захочуть побачити перевіряючі. Таким відповідальним може бути як конкретна особа, так і підрозділ. В останньому випадку особисту відповідальність несе керівник такого підрозділу.

Відомством, повноважним контролювати дотримання режиму персональних даних, є Федеральна служба з нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій (скорочено - Роскомнадзор). Всі матеріали по тим перевіркам, де виявлені порушення, відомство передає в прокуратуру.

Коли ознайомити нового співробітника до Положення про персональні дані

Ознайомте майбутнього співробітника до Положення про персональні дані до підписання трудового договору (ст. 68 ТК РФ). Підтвердити, що працівник прочитав Положення, можна його підписом:

  • в тексті трудового договору;
  • в листі ознайомлення з Положенням про персональні дані;
  • в журналі ознайомлення з локальними актами.

Положення про персональні дані - це локальний нормативний акт, який обов'язково повинен бути в організації (ст. 87 ТК РФ). Інакше компанію можуть притягнути до адміністративної відповідальності (ст. 5.27 КоАП РФ).

Згода працівника на обробку персональних даних

Отримати згоду потрібно, якщо:

  • запит інформації про співробітника надійшов від сторонньої організації;
  • роботодавець направляє запити в інші організації;
  • роботодавець обробляє відомості про включених до кадрового резерву;
  • обробка персональних даних родичів співробітника перевищує встановлений обсяг (даних потрібно більше, ніж вказано в особовій картці).

Персональні дані є конфіденційною інформацією, а значить, до неї не повинно бути вільного доступу, інакше вона вже перестає бути такою. У зв'язку з цим передавати такі відомості про співробітників іншим особам роботодавець має право тільки з їхньої письмової згоди.

Виняток із правил - ситуації, коли під загрозу ставляться життя і здоров'я працівників. Крім того, законом передбачена обробка персональних даних співробітника без згоди платника, якщо він є співробітником правоохоронних органів.

Персональні дані співробітників забезпечення схоронності

У заголовку необхідно вказати, що це саме згоду на обробку персональних даних, а не що-небудь інше.

Далі прописується П. І. Б. від руки самим перевіряється, потім серія і номер паспорта, ким він виданий. Після чого вказується найменування тієї організації, якій перевіряється дає дозвіл на перевірку. В подальшому необхідно вказати підстави перевірки.

Обов'язково докладно розпишіть, на що саме перевіряється дає свою згоду. В кінці документа повинна стояти підпис особи, що перевіряється.

Співробітник, що дав згоду на обробку своїх персональних даних, в будь-який момент має право відкликати таку згоду (ч. 2 ст. 9 Закону про персональні дані).

Якщо працівник не згоден

Якщо працівник не згоден на обробку персональних даних, роз'ясніть наслідки.

Роботодавець має право обробляти персональні дані співробітника без його згоди за умови, що їх обсяг не перевищує встановлений законом. Наприклад, щоб виконувати умови трудового договору. Без згоди співробітника можна обробляти його персональні дані у випадках, які передбачають колективний договір, локальні акти роботодавця, прийняті в порядку, встановленому статтею 372 Трудового кодексу РФ.

Зберігання персональних даних співробітників

Зобов'язання про нерозголошення персональних даних

Таке зобов'язання повинен оформити кожен співробітник, який має доступ до персональних даних інших працівників. Закон забороняє таким співробітникам розголошувати відомості, які стали їм відомі у зв'язку з виконанням трудових обов'язків.

Персональні дані співробітників забезпечення схоронності

Повідомлення про одержання персональних даних у третьої сторони

Якщо ви отримуєте персональні дані у третьої сторони, заздалегідь повідомте про це працівника (п. 3 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закону № 152-ФЗ). У повідомленні повідомте співробітнику про цілі, передбачуваних джерелах і способи отримання або передачі персональних даних. Також вкажіть характер персональних даних, які належить отримати.

Персональні дані співробітників забезпечення схоронності

Штрафи за порушення скоро збільшать

Поки штрафи за порушення в сфері охорони персональних даних не так вже й високі. Згідно зі статтею 13.11 КоАП України вони становлять від 5000 до 10 000 рублів для організації і від 500 до 1000 рублів для її керівника, якщо в порушенні є його вина.

Однак треба враховувати, що цей штраф може накладатися за кожне допущене порушення. Так що 10 тисяч рублів штрафу легко можуть перетворитися в 50 або 100 тисяч рублів навіть в рамках однієї перевірки. А за рік ці суми можуть виявитися ще значніше. Крім того, Держдумою Україна вже прийнятий законопроект, що посилює адміністративну відповідальність за порушення при обробці персональних даних.

Тепер у випадках обробки персональних даних, не передбачених законодавством, а також несумісних з цілями збору такої інформації, розміри штрафів становитимуть: від 1000 до 3000 рублів - для громадян, від 5000 до 10 000 рублів - для посадових осіб і від 30 000 до 50 000 рублів - для юросіб.

Якщо «обробник» забуде взяти згоду громадянина на обробку інформації про нього, штрафи відповідно складуть: від 3000 до 5000 рублів - для громадян; від 10 000 до 20 000 рублів - для посадових осіб; від 15 000 до 75 000 рублів - для юридичних осіб.

Як підготуватися до перевірки Роскомнадзора

Планові перевірки Роскомнадзор робить нечасто (раз на три роки), однак не варто скидати з рахунків і позапланові ревізії, які можуть бути проведені, наприклад, з метою з'ясувати, чи усунула компанія порушення, допущені і виявлені раніше. Перевірку також варто чекати, якщо компанія претендує на виконання держзамовлення.

Мабуть, найбільш негативний фактор, який свідчить про те, що з обробкою персональних даних справи в компанії йдуть не кращим чином - зберігання копій паспортів співробітників в доступному місці. Це миттєво породить у інспектора багато додаткових питань. Як і відсутність заповнених бланків «згоди співробітника на обробку персональних даних».

Інспектор може провести опитування серед персоналу на предмет того, чи знають вони, яких заходів вживає фірма для захисту їх персональних даних. Кращий спосіб уникнути «мінуса» в такій ситуації для керівника - провести попередній інструктаж з охорони особистих відомостей.

Інга Светевіч, експерт з трудового права

Електронна версія журналу
«ПРАКТИЧНА БУХГАЛТЕРІЯ»

Краща пропозиція для тих, кому потрібен мінімальний бюджет і практична інформація з обліку і податків.