Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Что необходимо для получения информации
Поиск нужных сведений облегчается тогда, когда присутствуют все данные паспорта – серия и номер, ФИО, дата рождения и место проживания и т. д. На практике часто случается так, что известна лишь часть паспортных данных, и потому сначала искать приходится недостающие сведения. При этом следует быть готовым понести финансовые издержки, так как по ФИО и дате рождения узнать паспортные данные человека бесплатно самостоятельно не получится.
Итак, без каких паспортных данных для получения информации о человеке не обойтись? Это прежде всего:
- ФИО – знание фамилии, имени и отчества (следует помнить, что отчество может и отсутствовать) всегда важно в поиске человека (хотя их можно изменить). К тому же существует реальная вероятность найти однофамильцев с таким же именем и отчеством, поэтому необходимо сочетать поиск по ФИО с поиском по другим данным;
- серия и номер паспорта – по ним узнать фамилию владельца и остальные необходимые сведения вполне реально, ведь каждый паспорт обладает уникальной комбинацией цифр: четыре цифры серии (первые две указывают на регион выдачи, вторые две – год бланка) и шесть цифр номера паспорта. Для этого необходимо обратиться в государственные органы с соответствующим заявлением и уплатить госпошлину (запрашиваемая информация конфиденциальна и может быть получена только по весомой причине);
- место регистрации – эта информация также помогает сузить круг поиска или получить новые зацепки (например, номер телефона, сведения от соседей);
- дата и место рождения – эти сведения являются важными уточняющими к фамилии и имени и помогут отсеять большинство однофамильцев.
Рекомендуем подробнее узнать, о чем могут рассказать такие паспортные данные, как серия и номер паспорта.
Наличие паспортных данных легко позволяет получить информацию об ИНН гражданина РФ, который состоит из 12 цифр. Это открытая информация, и она легкодоступна. Говоря о том, можно ли по ИНН узнать паспортные данные, которые относятся уже к персональным, следует заметить, что это возможно лишь частично. Первые две цифры покажут код субъекта России, следующие две – номер налоговой инспекции, следующие 6 – номер записи налогоплательщика. Остальная информация – в налоговой службе, но она оглашению не подлежит.
Иногда знание ИНН позволяет вычислить ФИО и адрес налогоплательщика, это возможно при существовании каких-либо задолженностей у данного налогоплательщика. Следует проверить их наличие, например, на сайте «Госуслуг» и в случае обнаружения выбрать пункт «Погасить», тогда при формировании квитанции отобразится почтовый адрес.
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
- если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
- при самостоятельном размещении резюме в интернете.
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:
- в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
- в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
- анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
- в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Персональные данные (Краткий FAQ)
Что такое персональные данные?
Персональные данные
— любая информация, относящаяся к определенному или определяемому на основании такой информации
физическому лицу
, в том числе: — его фамилия, имя, отчество, — год, месяц, дата и место рождения, — адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, —
другая
информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В
общедоступные
источники персональных данных (адресные книги, списки и другое информационное обеспечение)
с письменного согласия
физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и
иные
персональные данные (см. ФЗ-152, ст.8). Персональные данные относятся к информации ограниченного доступа и должны быть
защищены
в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.
Что такое оператор и субъект персональных данных?
Оператор персональных данных
— это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных
— это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Как классифицировать информационную систему персональных данных?
Для того, чтобы отнести типовую
информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо: I. Определить
категорию
обрабатываемых персональных данных: •
категория 4
— обезличенные и (или) общедоступные персональные данные; •
категория 3
— персональные данные, позволяющие идентифицировать субъекта персональных данных; •
категория 2
— персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; •
категория 1
— персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. II. Определить
объем
персональных данных, обрабатываемых в информационной системе: •
объем 3
— в информационной системе одновременно обрабатываются данные
менее чем 1000 субъектов
персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; •
объем 2
— в информационной системе одновременно обрабатываются персональные данные
от 1000 до 100 000 субъектов
персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; •
объем 1
— в информационной системе одновременно обрабатываются персональные данные
более чем 100 000 субъектов
персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; III. По результатам анализа исходных данных
типовой
ИСПДн присваивается один из следующих
классов
(см. табл.): • класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; • класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; •класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; •класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Объем / Категория | Объем 3 (<1 000, организация) | Объем 2 (1 000-100 000, отрасль, город) | Объем1 (>100 000, субъект Федерации) |
Категория 4 (обезличенные, общедоступные) | Класс 4 | Класс 4 | Класс 4 |
Категория 3 (идентификационные) | Класс 3 | Класс 3 | Класс 2 |
Категория 2 (идентификационные и еще) | Класс 3 | Класс 2 | Класс 1 |
Категория 1 (медицинские, социальные) | Класс 1 | Класс 1 | Класс 1 |
См. Порядок проведения классификации информационных систем персональных данных, введенный
Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20
.
Судный день отсрочен до 1 января 2011 года
Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25). Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную
ответственность
.Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.
ДОПОЛНЕНИЕ : Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Обязательные требования по защите информационных систем персональных данных
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия
или
обязательная аттестация по требованиям безопасности информации • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации • должны быть реализованы мероприятия по защите персональных данных от ПЭМИН • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации • должны быть реализованы мероприятия по защите персональных данных от ПЭМИН • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Порядок действий по защите информационной системы персональных данных
Последовательность действий при выполнении требований законодательства по обработке персональных данных: 1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 2) Предпроектное обследование информационной системы — сбор исходных данных; 3) Классификация системы обработки персональных данных; 4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 5) Разработка частного технического задания на систему защиты персональных данных; 6) Проектирование системы защиты персональных данных; 7) Реализация и внедрение системы защиты персональных данных; Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 9) Аттестация (сертификация) по требованиям безопасности информации; 10) Повышение квалификации сотрудников в области защиты персональных данных; 11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Когда аттестация и сертификация обязательна?
Аттестация
информационных систем по требованиям безопасности информации обязательна: — для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ; — в остальных случаях — для ИСПДн 1, 2 и 3 классов. Для ИСПДн 3 класса
по решению оператора
процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая
сертификацию
на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3). При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе
сертификация
на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ : В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять
с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Ответственность за нарушения по обработке персональных данных
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут: — гражданскую, — уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293), — административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2), — дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье: ФСТЭК
— Федеральная служба по техническому и экспортному контролю.
ПЭМИН
— Побочные Электромагнитные Излучения и Наводки
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
- перечень персональных данных строго соответствовал тому, что передается в банк;
- была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
- договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Убедитесь, что на ваше имя не открыты неизвестные банковские счета
Часто паспортные данные используют для открытия банковских счетов и банковских карт для осуществления незаконных операций. В результате чего, у владельца подобного счета могут возникнуть проблемы с правоохранительными органами и налоговой службой.
Узнать о том, какие банковские счета открыты на ваше имя, можно обратившись через сайт в Федеральную налоговую службу. Для этого необходимо зайти в Личный кабинет налогоплательщика и обратиться с запросом. Услуга оказывается бесплатно.
Если вы узнали о том, что ваши данные используют мошенники, немедленно обращайтесь в полицию, сохранив копию обращения с отметкой о получении у себя. Это поможет вам обезопасить себя от любых возможных проблем с нелегально открытыми счетами.
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Каким должно быть согласие на обработку персональных данных
Роскомнадзор в своих рекомендациях формулирует следующие требования:
- Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
- Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.
Выясните, кто интересовался вашей недвижимостью
Некоторые способы мошенничества можно совершить, имея на руках ваши паспортные данные. Сегодня получить информацию об объекте недвижимости и его собственнике довольно просто. Каждый человек может получить выписку из Единого государственного реестра недвижимости.
Вы как собственник недвижимости также имеете возможность узнать о тех лицах, которые обращались за сведениями о принадлежащем вам жилье. Это регламентируется статьей 62 Федерального закона от 13 июля 2015 г. № 218-ФЗ «О государственной регистрации недвижимости».
Вы можете обратиться в МФЦ и заказать справку о лицах, которые интересовались недвижимостью и получили о ней сведения за определенный период. Пошлина за получение справки в электронном виде составляет 250 рублей, за бумажный вариант – 400 рублей.
Если вы обнаружили, что кто-то проявляет интерес к вашим объектам недвижимости, то стоит немедленно подать заявление о запрете регистрации сделок с вашими объектами без вашего личного участия. Это можно сделать в МФЦ. В этом случае мошенники не смогут продать или подарить кому-либо вашу квартиру по доверенности.
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.
В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
- компания самостоятельно осуществляет пропускной режим;
- если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Персональные данные – использование на предприятии
В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).
Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.
Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.
В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.
Обработка ПД
Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:
- фиксации факта приема сотрудника на работу;
- удостоверения оснований для продвижения по карьерной лестнице;
- подтверждения оснований для выплаты зарплаты;
- осуществления контроля выполнения производственных заданий и работ.
Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.
Типы персональных данных на предприятии
На предприятии необходимо собрать два типа ПД:
- требуемых для заключения трудового договора;
- запрашиваемых и формируемых непосредственно работодателем.
ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:
- о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
- копии документов по пенсионному государственному страхованию;
- о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).
Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.
При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.
Ответственность за разглашение
152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии. Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом. Данное наказание выражается незначительными суммами.
Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.
Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.