Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.
В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д. Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует «О персональных данных» во исполнение конституционного принципа защиты частной жизни ( , ст. 2 закона № 152). Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152).
Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных. Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152). Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.
Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:
Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:
Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:
Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:
Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено.
Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе.
Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Осуществляется на основании исполнения законов и иных нормативных актов.
Что является обработкой персональных данных? В этот процесс включаются следующие действия:
Правовое регулирование работы с персональными данными охватывает все процессы и стадии работы с ними.
Для чего нужна обработка персональных данных? Обработка персональных данных работника осуществляется на предприятии, в организации в целях содействия ему.
Основные цели обработки персональных данных:
Законодательство предусматривает аккумуляцию и трансляцию личных данных работника исключительно в целях его развития и целесообразного применения его способностей и опыта. , включают в себя многофункциональные цели.
В цели обработки персональных данных работников входит использование и обработки персональных данных путём их синтеза и взаимосвязи, определяющих актуальность возможностей работника в условиях организации производственного процесса.
Поставленные и озвученные цели для обработки персональных данных не могут изменяться без уведомления работника.
Под персональными данными понимается такая информация, которая содержит основные сведения о лице, представляющем интерес для определённого круга представителей государственных и иных служб.
В частности, на производстве (в организации), персональные данные представляют интерес для работодателя, который осуществляет управление организацией труда на производстве на основании сведений о своих сотрудниках.
Работодатель имеет право затребовать любые персональные данные, имеющиеся в учётных записях о работнике. Кроме него, доступ к персональным данным имеет ограниченный круг лиц, который осуществляет операционную работу. Как правило, это секретариат и сотрудники кадровой службы.
Оператор, осуществляющий информационную деятельность с персональными данными, прежде, чем приступить к обозначенной работе, проходит инструктаж. Он знакомится с правилами работы и принципами, запрещающими разглашение сведений, содержащихся в персональных данных.
Осуществление перечисленных видов работ может преследовать исключительно те цели, которые явились причиной сбора информации. Нецелевое использование персональных данных или их разглашение считается грубым нарушением, за которое вменяется ответственность.
Как было рассмотрено ранее, нарушениями в обработке персональных данных считаются:
Работа оператора с персональными данными подлежит строгому контролю со стороны уполномоченных служб, а за недочёты, неумышленные или предумышленные нарушения, оператору вменяется ответственность.
За все неправомочные действия при обработке персональных данных, может последовать наказание: дисциплинарное, административное, в некоторых случаях – уголовное.
С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно - дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных) . Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Таблица 1. Документы, в которых содержатся персональные данные работников
N | Документ | Сведения |
1 |
Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) |
Анкетные и биографические данные работника |
2 |
Копия документа, удостоверяющего личность работника |
Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
3 |
Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) |
Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность |
4 | Трудовая книжка |
Сведения о трудовом стаже, предыдущих местах работы |
5 |
Копии свидетельств о заключении брака, рождении детей |
Состав семьи, изменения в семейном положении |
6 | Документы воинского учета |
Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
7 |
Справка о доходах с предыдущего места работы |
Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
8 | Документы об образовании |
Подтверждают квалификацию работника, обосновывают занятие определенной должности |
9 |
Документы обязательного пенсионного страхования |
Ф.И.О., личные данные |
10 | Трудовой договор |
Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
11 | Приказы по личному составу |
Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных - любое совершаемое с ними действие. Операции по обработке персональных данных:
Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.
Таблица 2. Структура Положения о персональных данных работников
N | Обязанность | Содержание раздела |
1 | Общие положения | Цель принятия Положения |
Вопросы, которые регулирует Положение | ||
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: - Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"; - Указ Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; - нормативные акты субъекта РФ |
||
2 |
Основные понятия. Состав персональных данных работников |
Основные понятия. Даются определения понятий "персональные данные", "обработка персональных данных", "использование персональных данных", указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) |
Перечень документов организации, которые содержат персональные данные |
||
3 |
Получение персональных данных работников |
Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно |
4 |
Использование персональных данных |
Цели использования личной информации сотрудников |
5 |
Обработка персональных данных |
Условия, соблюдаемые при обработке персональных данных работника |
6 |
Передача персональных данных (доступ к персональным данным) |
Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) |
7 |
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных |
Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных |
Введение Положения в действие
Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый - согласиться. Второй - в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
Образец листа ознакомления с локальными нормативными актами
N п/п |
Наименование локального нормативного акта | Дата | Подпись |
1 |
Правила внутреннего трудового распорядка ООО "Черный лес" |
03.10.2011 | Евстахов |
2 |
Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО "Черный лес" |
03.10.2011 |
Евстахов |
3 |
Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 |
03.10.2011 | Евстахов |
4 | Положение о персональных данных | 03.10.2011 | Евстахов |
5 |
Положение о материальной ответственности работников за ущерб, причиненный ООО "Черный лес" |
03.10.2011 | Евстахов |
Фрагмент журнала ознакомления с Положением о персональных данных
Примечание. Срок хранения персональных данных
Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.
Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.
Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников
В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).
Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.
К принципам обработки персональных данных указанный Закон относит следующие:
Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).
Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:
Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.
За это и другие нарушения норм, регулирующих получение, обработку и работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.
Этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:
Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.
Исключение составляют те ситуации, когда получить согласие невозможно, но необходима для защиты жизни или здоровья пациента.
Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .
Данные клиента могут использованы для:
Работодатель имеет право на своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:
(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.
Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.
Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:
Медицинская организация «Здоровье». Цель обработки:
С , клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас: