Отправить статью

Как организовать обработку персональных данных сотрудника

В последние годы про ограничения и ответственность, связанные с обработкой персональных данных, говорят буквально на каждом углу. При этом даже опытные кадровики порой не знают, как правильно организовать обработку персональных данных сотрудника. Эксперт системы «Актион Кадры» Анастасия Синицына рассказала об основных принципах и тонкостях.

Как организовать обработку персональных данных сотрудника
Иллюстрация: frantic00/Shutterstock

Что такое обработка персональных данных?

Под обработкой персональных данных понимают действия или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с помощью средств автоматизации. К обработке относят сбор, запись, систематизацию, накопление, хранение, уточнение, обновление и изменение, использование, передачу: распространение, предоставление и доступ, обезличивание, блокирование, удаление, уничтожение. Такое определение дано в положениях пункта 3 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ.

С обработкой персональных данных компания сталкивается, когда запрашивает сведения у сотрудника для заполнения трудового договора и личной карточки при приеме на работу. По закону обработчик должен совершать действия с данными только в определенных целях. Также он обязан получать данные у самого сотрудника. Если для этого нужно привлекать третьих лиц, то перед началом сбора информации необходимо получить письменное разрешение. В законе есть статья о специальных категориях персональных данных. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и так далее. Обработка таких сведений не допускается, за исключением отдельных случаев, которые предусмотрены частями 2 и 2.1 статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Также закон предписывает работодателю, обрабатывающему персональные данные, брать на себя все связанные с этим процессом расходы, знакомить сотрудников под подпись с локальными актами, которые устанавливают порядок обработки сведений, вместе с сотрудниками обеспечивать меры по защите информации.

Персональные данные содержатся в таких документах, как:

  • анкета, которую соискатель заполняет при приеме на работу;
  • копия паспорта;
  • трудовая книжка или ее копия, сведения о трудовом стаже, предыдущих местах работы;
  • копия свидетельств о заключении брака, рождении детей;
  • документы воинского учета;
  • справка о доходах и суммах налога физлица с предыдущего места работы;
  • документы об образовании и квалификации сотрудника;
  • трудовой договор;
  • приказы по личному составу и их копии.

Какие документы нужны для обработки персональных данных?

Статья 87 и пункт 8 статьи 86 ТК РФ регулируют порядок обработки персональных данных сотрудников. Тем не менее, конкретный перечень документов не установлен, поэтому работодатель может утвердить локальный акт. Название для документа выбирается самостоятельно. Например, положение о работе с персональными данными работников. При этом коллектив нужно под подпись ознакомить с этим документом.

В дополнение к такому документу разрабатывается политика в отношении защиты и обработки персональных данных. Он, например, понадобится, если на вашем сайте регистрируют пользователей или клиентов. Документ размещается в том месте, где, собственно, идет сбор данных. Он составляется с целью рассказать пользователям, какие меры принимает организация, чтобы защитить персональные данные. В документе Роскомнадзор рекомендует указывать основные понятия, цели обработки персональных данных, основания, категории обрабатываемых данных, порядок и условия их обработки, права и обязанности субъектов данных и так далее.

Сотрудники, которые имеют доступ к данным своих коллег, обязаны их не разглашать. При этом привлечь к ответственности, если утечка или разглашение все же произошли, можно только, если это случилось в связи с исполнением трудовых обязанностей, и есть подтверждение, что сотрудники обязывались информацию не разглашать.

Следовательно, работодателю стоит заранее позаботиться о составлении документа о неразглашении, которое подписывается с сотрудниками, имеющими доступ к данных других работников. Также в организации должны быть протоколы, планы внутреннего аудита, правила внутреннего контроля, материалы проверочных мероприятий на случай инспекторских проверок.

Как уведомить Роскомнадзор о том, что организация обрабатывает персональные данные?

До начала обработки данных организации нужно уведомить Роскомнадзор о том, что такая деятельность будет проводиться. При составлении формы необходимо ориентироваться на приказ Роскомнадзора от 30 мая 2017 года № 94.

Работодатель может направить уведомление в бумажном виде на адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (часть 3 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ). При изменении сведений или в случае прекращения обработки данных также нужно извещать Роскомнадзор.

Кто должен быть ответственным за обработку персональных данных в компании?

Как правило, за обработку персональных данных назначают ответственным специалиста кадровой службы. Назначение ответственного — обязанность работодателя. Функция закрепляется за сотрудником посредством приказа. Такой сотрудник проводит внутренний контроль за соблюдением закона о персональных данных, доводит до остальных работников всю необходимую информацию, организовывает прием и обработку обращений, поступающих от субъектов персональных данных или их представителей. В статье 22.1 Федерального закона от 27 июля 2006 года №152-ФЗ также указано, что работодатель должен передать ответственному лицу такие сведения как:

  • наименование (фамилия, имя, отчество), адрес работодателя;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатывают;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание способов обработки данных;
  • описание мер по обработке данных, в том числе сведения о шифровальных средствах и другое.

Если обработка персональных данных происходит без средств автоматизации, работодатель также обязан проинформировать о способе такой обработки, о категориях персональных данных и о правилах обработки. Об этом говорится в пункте 6 положения, утвержденного постановлением правительства от 15 сентября 2008 года № 687.

Также работодатель вправе поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести работодатель. А лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (части 3, 5 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ). В договоре между работодателем и ответственным лицом нужно установить его обязанность обеспечить безопасность персональных данных при их обработке (пункт 3 требований, утвержденных постановлением правительства от 1 ноября 2012 года № 1119).

Какие персональные данные может получать компания?

Организация может собирать сведения о трудовой деятельности сотрудника. Информацию, составляющую личную и семейную тайну, вероисповедание, политические взгляды работник вправе не разглашать в соответствии с пунктом 4 части 1 статьи 86 ТК и статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ.

После пандемии коронавирусной инфекции особенно актуальным стал вопрос о получении сведений, касающихся здоровья. Во многих регионах работодатели обязаны тестировать сотрудников на коронавирус. Принудить сотрудника к тестированию работодатель не может, такие действия могут быть классифицированы как медицинская манипуляция. Поэтому перед направлением сотрудника на сдачу анализа на коронавирус необходимо получить его письменное согласие, после чего издавать приказ о тестировании.

При этом измерять температуру сотрудников на входе в офис разрешено без получения согласия, но показатели тепловизора нужно уничтожать в течение суток — на этом настаивает Роскомнадзор в информации от 20 марта 2020 года.

Кто и как проводит проверки по обработке персональных данных?

Когда проходит три года с даты регистрации компании в реестре, она попадает в план проверок. То, как в компании соблюдается закон о персональных данных, проверяет Роскомнадзор и его территориальные органы. Такие проверки регулируются Законом от 26 декабря 2008 года № 294-ФЗ и правилами, утвержденными постановлением правительства от 13 февраля 2019 года № 146. Проверка еще может быть внеплановой. Ее проводят в том случае, если оператор не исполнит или частично исполнит предписание об устранении нарушений, если поступит обращение гражданина о нарушении, если есть поручение президента и правительства, если этого требует прокурор или если такое решение исходит от руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Длительность проверки будет зависеть от ее вида: срок плановой проверки составляет 20 рабочих дней, внеплановой — не более 10 рабочих дней. О плановой проверке работодателя должны известить за три дня до ее начала, о внеплановой — за 24 часа. Контролирующие органы направляют копию приказа о проверке по почте с уведомлением о вручении, по электронной почте с квалифицированной электронной подписью или любым удобным способом.

В ситуации, когда проверяющий получит документы о нарушении требований к обработке данных; либо возникнет непреодолимая сила, например, затопление или пожар в организации, где проводят проверку; работодатель не представит необходимые документы или будет большой объем работы и документов, которые нужно проверить, надзорное мероприятие может быть продлено. Срок плановой проверки увеличат не более чем на 20 дней, внеплановой — не больше, чем на 10.

Виды ответственности за нарушения в работе с персональными данными

За нарушения в работе с персональными данными предусмотрены разные виды ответственности: дисциплинарная, материальная, административная и даже уголовная.

Дисциплинарная ответственность может наступить для сотрудников, нарушивших правила работы с персональными данными. Это регулирует статья 192 ТК.

Если в результате неосторожных действий при работе с персональными данными, организации нанесен прямой ущерб, то в соответствии со статьей 238 ТК сотрудник привлекается к материальной ответственности.

При обнаружении нарушений при проверке Роскомнадзор вправе оштрафовать организацию в соответствии со статьями 13.11 и 13.14 КоАП. Размер штрафов зависит от вида нарушения. Для граждан, должностных лиц и организаций предусмотрены разные суммы.

Уголовная ответственность для руководителя организации или иного лица, ответственного за работу с персональными данными, может наступить, если он незаконно:

  • собирает или распространяет сведения о частной жизни сотрудника, которые составляют его личную или семейную тайну, без его согласия;
  • распространяет эти сведения в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Меры уголовной ответственности установлены в статье 137 Уголовного кодекса.

Деловой мир в
и
Деловой мир в
и
0 комментариев
Отправить
Чтобы оставить комментарий, авторизируйтесь или зарегистрируйтесь