Работа с персональными данными. Готовимся к проверке

2081
Работа с персональными данными должна быть организована так, чтобы исключить всякую возможность их неправомерного использования. В нашей статье мы поговорим о том, как подготовиться к проверке правил обработки и хранения персональных данных. Вы узнаете, что можно проверить самостоятельно, как выявить ошибки и вовремя их исправить.

Ведомственный контроль за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, осуществляет Государственная инспекция труда. В числе аспектов законодательства, соблюдение которых может подвергнуться контролю, могут быть нормативные требования об обработке и защите персональных данных работников. Контроль за соблюдением требований закона в этой сфере может осуществляется как в ходе комплексной плановой проверки работодателя, так и по индивидуальной жалобе работника на нарушение его прав в этой сфере.

Проверке подлежит соблюдение не только требований гл. 14 Трудового кодекса РФ и других его норм, связанных с персональными данными работника, но и положений иных правовых актов. Так, обработка и защита персональных данных регламентируется специальным Федеральным законом от  27.07.2006 №  152-ФЗ «О персональных данных» (далее — Закон о персональных данных), а также рядом подзаконных нормативных актов.

При этом, как несложно догадаться, персональные данные есть в каждом кадровом документе: трудовых договорах, приказах, личных карточках, личных делах, графиках отпусков и сменности, трудовых книжках, документах по оплате труда, премированию, дисциплинарным взысканиям и т. д. Следовательно, вся эта документация должна содержаться в порядке и соответствовать требованиям трудового законодательства.

Особое внимание проверяющие уделяют соблюдению работодателями правил хранения документов по личному составу. Поскольку кадровые документы содержат персональные данные работников, работодатель должен хранить их так, чтобы исключить доступ к ним лиц без права допуска. Тем самым будет обеспечена конфиденциальность информации. Кстати говоря, все кадровые документы должны храниться в закрываемых помещениях, шкафах, сейфах.

Работа с документацией, содержащей персональные данные, должна быть организована таким образом, чтобы эти бумаги не были доступны другим работникам. То есть кадровик должен следить, чтобы документы не оставались на рабочем столе, не лежали на открытых стеллажах, особенно если в этом же помещении работают сотрудники, не имеющие доступа к персональным данным.

ПРИМЕР

Нередко работник, зайдя в отдел кадров, может беспрепятственно ознакомиться с содержанием приказов, распоряжений и других документов, которые в данный момент находятся в работе у менеджера по кадрам. Такая ситуация должна быть исключена и строго регламентирована в правилах обработки персональных данных.

Будьте уверены: если предметом проверки является соблюдение работодателем законодательства о порядке обработки и защиты персональных данных, то проверяющие обязательно изучат вопрос о формах и способах хранения кадровых документов и правилах работы с ними, принятыми в компании.

Отдельно закрепляются требования к хранению и учету трудовых книжек. Для этого необходимо вести приходно-расходную книгу по учету бланков трудовой книжки и вкладыша в нее и книгу учета движения трудовых книжек и вкладышей в них. При этом ответственный за ведение трудовых книжек должен ежемесячно составлять отчеты о наличии бланков и вкладышей и о суммах, полученных за оформление указанных документов, с приложением приходного ордера кассы организации.

Соблюдение каких мер по защите персональных данных может стать предметом проверки?

Перечень мер по защите персональных данных работодатель определяет самостоятельно. Единственное требование: они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом о персональных данных.

Пожалуй, к числу обязательных можно отнести все те меры, которые перечислены в ч. 1 ст. 18.1 Закона о персональных данных. К ним относятся:

1. Назначение ответственного за организацию обработки персональных данных.

2. Разработка документа, определяющего политику организации в отношении обработки персональных данных, других локальных нормативных актов, предусматривающих в том числе меры по предотвращению и выявлению нарушений трудового законодательства в данной сфере и устранению последствий таких нарушений.

3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных.

4. Осуществление внутреннего контроля и (или) аудита на предмет соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора.

5. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, документами, определяющими политику оператора в отношении обработки этих данных, соответствующими локальными актами.

Так, согласно ст. 22.1 Закона о персональных данных работодатели обязаны назначить ответственного за организацию обработки персональных данных. Если это не сделано, велика вероятность, что проверяющий квалифицирует это как нарушение правил работы с персональными данными.

ПРИМЕР

Территориальная избирательная комиссия обратилась в суд с требованием об отмене предписания Роскомнадзора об устранении допущенных нарушений. В предписании, в частности, указывалось на отсутствие в комиссии лица, ответственного за организацию обработки персональных данных.

В комиссии сослались на распоряжение, согласно которому ответственным был назначен ее секретарь. Однако из буквального текста распоряжения следовало, что секретарь комиссии отвечает лишь за сбор и хранение данных, но не за их обработку.

При таких обстоятельствах предписание Роскомнадзора было признано обоснованным, притом что на момент судебного разбирательства нарушение было устранено (см. постановление ФАС Северо-Западного округа от  29.04.2013 по делу №  А44-5910/2012).

Выбери свое решение

Работа с персональными данными. Готовимся к проверке

Отметим, что из буквального толкования ст. 22.1 Закона о персональных данных следует, что назначение ответственного за обработку персональных данных является обязательным только для работодателей — юридических лиц. Индивидуальные предприниматели могут не назначать такое лицо, хотя при большой численности работников это лучше сделать.

Какие основные обязанности выполняет сотрудник, ответственный за организацию обработки персональных данных?

Такой сотрудник должен:

  • контролировать соблюдение работодателем и сотрудниками законодательства о персональных данных, в том числе требований к их защите;
  • знакомить работников с положениями законодательства и локальных нормативных актов по вопросам обработки персональных данных;
  • организовывать прием и обработку обращений и запросов работников.

Сведения о сотруднике, на которого возлагается ответственность за организацию обработки персональных данных (включая Ф. И. О., номер телефона, почтовый и электронный адреса), указываются в уведомлении Роскомнадзора об обработке (о намерении осуществлять обработку) персональных данных.

Может ли руководитель организации быть ответственным за организацию обработки персональных данных?

Буквально по закону получается, что нет. Так как ответственное лицо должно быть подотчетно руководителю организации. Разумнее всего возложить эту обязанность на начальника отдела кадров, руководителя службы персонала или сотрудника бухгалтерии. Нередко на практике ответственными назначают специалистов IT-подразделений, которые лучше других разбираются в информационных технологиях, используемых при обработке персональных данных работников.

Если обработка персональных данных осуществляется с использованием информационных систем, необходимо соблюдать требования, утвержденные постановлением Правительства РФ от  01.11.2012 № 1119. В частности, работодатель изначально должен определить уровни защиты персональных данных в информационных системах.

ПРИМЕР

При минимальной угрозе несанкционированного, в том числе случайного, доступа к персональным данным устанавливается, как правило, 4-й уровень защищенности. Такой уровень защищенности персональных данных обеспечивается за счет:

организации режима безопасности помещений, в которых размещена информационная система, таким образом, чтобы исключить возможность проникновения или пребывания в них лиц, не имеющих права доступа в эти помещения;

обеспечения сохранности носителей персональных данных;

утверждения перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей;

использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ.

Контроль за соблюдением требований к защите персональных данных при их обработке в информационных системах организуется и проводится работодателем самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже одного раза в три года в сроки, определяемые работодателем.

В кадровой работе некоторые персональные данные сотрудников могут обрабатываться без использования средств автоматизации. В этом случае необходимо руководствоваться Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от  15.09.2008 № 687 (далее — Положение № 687).

ПРИМЕР

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой из них должен использоваться отдельный материальный носитель (Положение № 687).

Все работники, осуществляющие неавтоматизированную обработку персональных данных, должны быть проинформированы о ее правилах и категориях персональных данных (биометрические, специальные или обычные), ознакомлены с требованиями нормативных правовых актов в этой сфере.

Соответствующие права и обязанности должны быть прописаны в локальных актах, трудовых договорах и (или) должностных инструкциях работников, осуществляющих неавтоматизированную обработку.

Если при этом используются какие-либо типовые формы, в них обязательно указываются:

  • сведения о цели обработки персональных данных, осуществляемой без средств автоматизации;
  • имя (наименование) и адрес оператора (работодателя);
  • фамилия, имя, отчество и адрес субъекта персональных данных;
  • источник получения персональных данных;
  • сроки обработки;
  • перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
  • поле, в котором субъект персональных данных может поставить отметку о согласии на их обработку, осуществляемую без использования средств автоматизации (если в соответствии с законодательством необходимо получение письменного согласия на обработку персональных данных).

Типовая форма должна быть составлена таким образом, чтобы каждый имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных. Необходимо также исключить объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

Обязательные документы

Есть ряд документов, которые должны быть в наличии у каждого работодателя. Среди них ТК РФ называет:

  • положение о порядке обработки персональных данных работников (п. 8 ст. 86);
  • документ, регламентирующий права и обязанности работников в области персональных данных (п. 8 ст. 86);
  • локальный нормативный акт, регулирующий передачу персональных данных в пределах одной организации, одного индивидуального предпринимателя (ст. 88).

Готовясь к проверке, необходимо не только проверить наличие указанных документов, но и проверить их содержание на предмет соответствия законодательству, а также ознакомить с ними всех работников, чьи права и обязанности они так или иначе затрагивают.

СИТУАЦИЯ

У нас небольшая семейная фирма. Все друг друга знают, так что и   скрывать-то  особо нечего. Какой смысл во всех этих документах о защите персональных данных? Стоит ли утверждать их?

Численность работников и наличие родственных отношений между ними в данном случае не имеют никакого значения. Указанные в законе документы обязательны для всех без исключения работодателей, в том числе для индивидуальных предпринимателей. За их отсутствие фирму могут оштрафовать.

Что касается прав и обязанностей работников, тут важно понимать, о ком именно идет речь.

Категория 1. Сотрудники, которые получают доступ к персональным данным других лиц, в том числе своих коллег.

Категория 2. Остальные сотрудники, не имеющие такого доступа.

Деятельность работников первой категории регулируется целым комплектом документов, устанавливающих их обязанности в области персональных данных, а именно:

  • трудовым договором с условием об обеспечении конфиденциальности персональных данных;
  • должностной инструкцией об обработке и защите получаемых персональных данных;
  • инструкциями, правилами и другими локальными актами, регламентирующими порядок обработки и защиты персональных данных, ведения конфиденциального делопроизводства, хранения персональных данных и т. п.

Имейте в виду: обязанности по обеспечению конфиденциальности и обработке персональных данных могут быть включены в трудовые договоры только тех работников, которые получают к ним доступ в силу осуществления трудовых обязанностей. Включение соответствующих условий в трудовые договоры и должностные инструкции всех работников будет являться нарушением законодательства и поводом для применения ответственности со стороны государственной инспекции труда. Поэтому для облегчения подготовки к проверке и последующего контроля за соблюдением работниками требований об обработке и защите персональных данных рекомендуем составить список лиц, допущенных к обработке и хранению персональных данных.

По каждому работнику из списка нужно будет проверить:

  • наличие и содержание трудового договора (условие об обеспечении конфиденциальности, требований к обработке и защите персональных данных);
  • наличие должностной инструкции, содержащей требования к обеспечению конфиденциальности, обработке и защите персональных данных;
  • факт ознакомления данных работников под подпись с локальными нормативными актами, приказами, распоряжениями в области персональных данных, их обработки и хранения.

Что же касается работников, которые не имеют доступа к персональным данным других лиц для исполнения трудовой функции, закон требует регламентировать их права и обязанности по отношению к собственным персональным данным.

Чтобы выполнить это требование, достаточно будет отразить соответствующие права и обязанности в локальном нормативном акте об обработке персональных данных. Дополнительно их можно закрепить в правилах внутреннего трудового распорядка. За основу регламентации указанных прав и обязанностей следует взять ст. 89 ТК РФ, а также ст. 14–18 Закона о персональных данных.

Итак, Закон о персональных данных требует наличия:

1) документов, определяющих политику оператора — юридического лица в отношении обработки персональных данных;

2) локальных актов по вопросам обработки персональных данных;

3) локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

СИТУАЦИЯ

Руководство поставило задачу разработать политику организации в отношении обработки персональных данных. Как это сделать? Какой документ нужно издать в первую очередь?

Политика оператора в отношении обработки персональных данных представляет собой документ общего действия, касающийся персональных данных любых лиц, предоставляющих их этому оператору. Поэтому законодатель требует размещения такого документа на официальном сайте оператора.

Локальные нормативные акты, указанные в Законе о персональных данных, напрямую затрагивают трудовые правоотношения. Поэтому работодатель должен их принять. Требование о наличии локального акта по вопросам обработки персональных данных совпадает с аналогичным требованием ТК РФ, о чем было сказано ранее.

Порядок обработки персональных данных может быть отражен в соответствующем локальном нормативном акте, там же следует зафиксировать и требования к передаче персональных данных у одного работодателя как части общего процесса обработки. Кроме того, в этом локальном акте можно указать права и обязанности работников в области персональных данных.

Что касается процедур, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, то названные процедуры могут быть прописаны либо в отдельном положении, либо в общем локальном нормативном акте об обработке персональных данных.

Содержание перечисленных документов и локальных нормативных актов не должно противоречить действующему законодательству в области прав субъектов персональных данных.

В частности, недопустимо проводить обработку специальных или биометрических персональных данных без согласия их субъекта, если такая возможность не предусмотрена законом. Запрещено устанавливать дисциплинарные взыскания за нарушения в области персональных данных, не предусмотренные законодательством, и т. д.

Кроме того, в указанных документах должны быть закреплены меры по защите персональных данных работников. О необходимости применения правовых, организационных и технических мер по обеспечению их безопасности говорится в ст. 18.1 Закона о персональных данных.

В заключение отметим, что ответственность работодателя за нарушение требований законодательства в области персональных данных может наступить как по общим нормам, то есть в целом за нарушение трудового законодательства (ст. 5.27 Кодекса РФ об административных правонарушениях), так и по специальным составам административных правонарушений:

  • за непредоставление информации (ст. 5.29, 5.39 КоАП РФ);
  • нарушения в области персональных данных (ст. 13.11, 13.12, 13.14 КоАП РФ).

НА ЗАМЕТКУ

Статья 358 ТК РФ предусматривает обязанность государственных инспекторов труда не разглашать охраняемую законом тайну. Однако персональные данные в этой статье не указываются. Обязанность соблюдать конфиденциальность персональных данных вытекает из ст. 88 ТК РФ. Государственные инспекторы труда являются госслужащими, следовательно, на них распространяется обязанность, предусмотренная п. 9 ч. 1 ст. 17 Федерального закона от  27.07.2004 №  79-ФЗ «О государственной гражданской службе РФ». Они не вправе разглашать или использовать в личных целях сведения, отнесенные в соответствии с федеральным законом к сведениям конфиденциального характера, или служебную информацию, ставшую им известной в связи с исполнением должностных обязанностей.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Актуально


Рассылка




PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Статья для специалистов по работе с кадрами!

Зарегистрируйтесь, чтобы продолжить чтение.

Дополнительно Вы сможете:
- прочитать еще 5600 рекомендаций по кадровой и HR-тематике
- скачать 4800 готовых образцов документов
- посмотреть 54 видеолекции по трудовому законодательству

Подарок дня: Справочник должностных инструкций по профстандартам

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте и скачайте файл!

Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль