Защита персональных данных

28826
 Станскова У. М.
старший преподаватель кафедры трудового и социального права Южно-Уральского государственного университета
Положения Закона о персональных данных не всегда просто понять даже кадровикам, т.е. специалистам, которые ежедневно решают трудовые и кадровые вопросы. В этой связи у работодателей возникает множество вопросов по поводу обработки и охраны персональных данных. Общеизвестно, что организация должна защищать персональные сведения, которые она получила от своих работников. И о том, как правильно построить работу и не допускать ошибок в вопросах применения данного закона, читайте в нашей статье.

Защита персональных данных работника

Итак, установление режима конфиденциальности личных сведений требует принятия их оператором (работодателем) ряда мер: правовых, организационных и технических.

Читайте также:

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) оператор при работе с персданными о сотруднике обязан принимать необходимые организационные и технические меры, в т. ч. использовать шифровальные (криптографические) средства для защиты данных от неправомерных действий.

При этом Закон не раскрывает содержания мер охраны личных данных. Ясно только, что цель таких мер - охрана от неправомерного или случайного доступа к материалам.

Правовые, организационные и технические меры, которые работодатель должен принимать для защиты данных о сотруднике, представлены в таблице 1.

Таблица 1

Меры защиты персональных данных

Вид мер

Содержание мер

Рекомендации

1

2

3

Правовые меры

Разработка перечня сведений, отнесенных к персональным данным

Следует отнести персональные данные к конкретному виду тайны и разграничить персональные данные по категориям

Разработка локальных нормативных акто, регламентирующих вопросы защиты персональных данных:

  • положения о защите персональных данных;
  • инструкции о порядке доступа к носителям персональных данных;
  • инструкции по автоматизированной и неавтоматизированной обработке персональных данных;
  • положения о структурных подразделениях, обеспечивающих защиту информации;
  • положения, регламентирующие организацию конфиденциального делопроизводства;
  • должностные инструкции сотрудников, работающих с персональными данными работников и т.д.

В локальных нормативных актах следует отразить особенности обработки каждой категории данных, в т.ч. особенности автоматизированной и неавтоматизированной обработки.

Также необходимо предусмотреть меры по  защите персональных данных.

Заключение трудовых договоров с условием об обязанности работников в области обеспечения конфиденциальности персональных данных и защиты их от утери, порчи или несанкционированного использования.

Трудовые договоры с условием об обеспечении конфиденциальности персональных данных должны заключаться со всеми лицами, получающими доступ к персональным данным в процессе трудовых отношений.

В трудовом договоре (дополнительном соглашении) следует указать следующие обязанности:

  1. Соблюдать требования по получению и обработке персональных данных;
  2. Принимать меры по обеспечению и конфиденциальности персональных данных;
  3. Не использовать персональные данные в целях, не связанных с осуществлением трудовой функции;
  4. Не разглашать полученные персональные данные, а также не совершать других действий, влекущих уничтожение или утрату персональных данных или утерю их ценности для субъекта персональных данных.

Разработка и заключение соглашений о даче согласий на обработку персональных данных и (или) их передачу, уведомлений об обработке персональных данных и т.п.

Содержание согласия на обработку персональных данных должно соответствовать требованиям ст.9 Закона о персональных данных.

Продолжение табл. 1

Регламентация и установление гарантий для работников, получающих доступ к конфиденциальным персональным данным

В локальном нормативном акте могут быть предусмотрены дополнительные гарантии для работников, получающих доступ к конфиденциальной информации, например:

- преимущественное право на оставление на работе при сокращении численности или штата;

Доплаты и надбавки к заработной плате за работу с конфиденциальной информацией и т.д.

Организационные меры

Определение и учет лиц, получающих доступ к персональным данным. При этом в случае обработки персональных данных в информационных системах составление списка лиц, получающих доступ к персональным данным, является обязательным. Перечень подлежит утверждению работодателем (п. 14 Положения о безопасности персональных данных в информационных системах).

Работодателю следует составить список лиц, получающих доступ к персональным данным. В трудовые договоры этих сотрудников обязательно включаются условия об обеспечении конфиденциальности персональных данных.

Организация и ограничение доступа к персональным данным.

Система защиты не должна остаться только на бумаге. Работодателю следует принять меры, направленные на исключение получения доступа к конфиденциальным персональным данным неуполномоченных лиц.

Формирование структурных подразделений, осуществляющих работу с персональными данными и обеспечивающих их защиту.

В функции такого структурного подразделения должна входить организация и обеспечение систем защиты персональных данных. Эти функции следует указать в локальном нормативном акте (в т.ч. может быть разработано положение о данном структурном подразделении). В небольших организациях такие функции могут быть поручены одному работнику. Возложение обязанностей по организации защиты персональных данных должно найти свое отражение в трудовом договоре и должностной инструкции.

Организация работы с персональными данными в т.ч. организация конфиденциального делопроизводства и работы с материальными носителями персональных данных.

Следует предусмотреть правила работы с персональными данными и правила конфиденциального делопроизводства в локальных нормативных актах. Необходимо обеспечить реализацию указанных правил. В т.ч. посредством применения взысканий к работникам, допустившим их нарушение.  

Организация обучения и проверки знаний по работе с персональными данными.

В локальном акте следует предусмотреть периодичность такого обучения и проведения проверок знаний, а также их последствия. Необходимо определить лиц, ответственных за проведение проверок. Вопросы, касающиеся защиты персональных данных, могут быть включены в перечень вопросов, выносимых на аттестацию работника, при условии, что в обязанности работника входит знание порядка обработки персональных данных в связи с осуществлением его трудовой функции.

Установление степеней конфиденциальности сведений и занесение соответствующих грифов на носители персональных данных.

Для специальных категорий персональных данных может быть установлен гриф «Строго конфиденциально», для других  категорий – «конфиденциально».

Окончание табл. 1

Технические меры

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Отсутствие технических мер защиты может привести к неэффективности всей системы защиты персональных данных.

Локальный нормативный акт о защите персональных данных работников

В первую очередь (и это прямо предусмотрено законом) работодатель обязан разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки личных сведений, меры и способы охраны этих сведений от утери и несанкционированного использования.

В компанию, занимающуюся оптово-розничной торговлей, пришел новый начальник отдела кадров. Принимая дела, он провел внутренний аудит всех кадровых документов, включая локальные нормативные акты, которые должны быть в каждой компании.

Читайте также:

Выяснилось, что никакого документа, регламентирующего порядок работы с информацией о работнике и защиты персданных в организации нет. Чтобы исправить это упущение, решено было срочно утвердить такой документ. Разработали текст, а дальше встал вопрос: нужно ли при утверждении локального нормативного акта, устанавливающего порядок обработки и способы охраны информации о работнике, учитывать мнение представительного органа сотрудников?

Общее правило приведено в ч. 2 ст. 8 ТК РФ: в случаях, предусмотренных ТК РФ, другими федеральными законами и иными нормативными правовыми актами РФ, коллективным договором, соглашениями, работодатель, принимая локальный нормативный акт, обязан учитывать мнение представительного органа работников (при наличии такого органа).

При этом Кодекс прямо не предусматривает такую обязанность работодателя в случае принятия локального нормативного акта о порядке работы с личными сведениями  и можно сделать вывод, что учет представительного органа сотрудников в этой ситуации не требуется.

В то же время - наряду с установленной Законом № 152-ФЗ обязанностью оператора принимать необходимые меры по защите материалов о работнике - п. 10 ст. 86 ТК РФ содержит требование совместной разработки таких мер работодателями, работниками и их представителями. А вот что означает такая «совместная разработка мер» - не вполне ясно.

Полагаем, что в целях соблюдения интересов сотрудников и с учетом положения п. 10 ст. 86 ТК РФ локальный нормативный акт, регламентирующий в т. ч. защиту информации о сотруднике, стоит принимать с учетом мнения представительного органа работников (при его наличии).

Читайте также:

Ознакомление работников с локальным актом о защите личных сведений

Процедура принятия локального нормативного акта об охране личных данных работников и порядок выработки мер такой охраны могут быть предусмотрены в коллективном договоре или другом локальном нормативном акте, например в Инструкции по делопроизводству.

Закон содержит требование об обязательном ознакомлении сотрудников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки личных сведений работников, а также их права и обязанности в этой области (п. 8 ст. 86 ТК РФ).

Ваша задача не только выполнить данную обязанность, но и обеспечить документальное подтверждение того, что все работники под роспись ознакомлены с документами, устанавливающими порядок работы с личными сведениями, а также их права и обязанности в этой области.

Требования к защите информации о сотруднике  различаются в зависимости от того, обрабатываются личная информация в информационных системах или вне таковых, с использованием средств автоматизации или без них.

Читайте также:

Оформление и утверждение Положения о защите персональных данных

Унифицированная форма такого локального нормативного акта, как Положение о защите личных сведений, нормативными актами не предусмотрена, и документ составляется в произвольной текстовой форме. Конечно, при этом должны

соблюдаться общие правила оформления документов. Определим их.

Правило 1. Локальный нормативный акт о защите материалов о работнике оформляется на бланке работодателя, где указываются:

  • наименование работодателя;
  • место составления документа;
  • наименование вида документа (Положение);
  • заголовок к тексту (о защите персданных).

Правило 2. Мнение представительного органа сотрудников (если он есть) учитывается в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.

Работодатель направляет в представительный орган работников проект Положения и обоснование по нему. Представительный орган работников в течение пяти рабочих дней составляет письменное мотивированное мнение по проекту. На проекте Положения оформляется отметка об учете мнения.

Правило 3. Положение утверждается руководителем организации или иным уполномоченным на это должностным лицом путем издания отдельного приказа или оформления грифа утверждения на самом документе.

Правило 4. С Положением о защите персональных данных сотрудники должны быть ознакомлены под роспись.

Для лиц, принимаемых на работу, действуют специальные правила ознакомления: они знакомятся с локальными нормативными актами работодателя, непосредственно связанными с их трудовой деятельностью, в т. ч. с Положением о защите персональных данных, до подписания трудового договора (ч. 3 ст. 68 ТК РФ).

Читайте также:

Защита персональных данных в информационных системах

Информационные системы - совокупность личных сведений, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких личных сведений с использованием средств автоматизации или без использования таковых.

Особенности охраны информации о работнике при их обработке в информационных системах устанавливаются Положением об обеспечении безопасности информации о сотруднике при их обработке в информационных системах персданных, утв. постановлением Правительства РФ от 17.11.2007 № 781и Положением о методах и способах защиты информации в информационных системах личных сведений, утв. приказом ФСТЭК России от 05.02.2010 № 58.

Требования указанных Положений должны быть соблюдены работодателем при организации охраны личных данных в информационных системах.

В нашей компании работа с персданными производится в информационной системе. Правда, до недавних пор мы особо о защите таких данных не заботились, но после ряда публикаций в «Справочнике кадровика» решили навести порядок и в этом вопросе.

Понятно, что самостоятельно мы это не сделаем, нужна помощь «айтишников», а они только руками разводят и говорят: объясните конкретно, чего хотите. Что нам нужно сделать, чтобы обязанность по защите  личных  данных сотрудников при их обработке в информационной системе была выполнена?

При работе с личными сведениями работников в информационной системе работодатель должен обеспечить:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к личным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • недопущение воздействия на технические средства автоматизированной обработки личных данных, в результате которого может быть нарушено их функционирование;
  • возможность незамедлительного восстановления персданных сотрудников, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • постоянный контроль за уровнем защищенности  личных данных.

Читайте также:

Действия работодателя по защите персональных данных работников

Чтобы обеспечить безопасность персданных работников при их обработке в информационных системах, нужно выполнить следующие действия.

Шаг 1. Определить угрозы безопасности личных данных при их обработке и сформировать на их основе соответствующие модели.

Шаг 2. Разработать на основе модели угроз систему охраны личных сведений, обеспечивающую нейтрализацию предполагаемых угроз, с использованием методов и способов защиты информации о сотрудниках, предусмотренных для соответствующего класса информационных систем.

Шаг 3. Проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.

Шаг 4. Установить и ввести в эксплуатацию средства охраны информации в соответствии с эксплуатационной и технической документацией.

Шаг 5. Обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

Шаг 6. Учитывать применяемые средства защиты информации, эксплуатационную и техническую документацию к ним, носители информации о работнике.

Шаг 7. Учитывать лиц, допущенных к работе с персданными в информационной системе.

Шаг 8. Контролировать соблюдение условий использования средств защиты материалов, предусмотренных эксплуатационной и технической документацией.

Шаг 9. Составлять заключения по фактам несоблюдения условий хранения носителей личных сведений, использования средств охраны информации, которые могут привести к нарушению конфиденциальности данных или другим нарушениям, приводящим к снижению уровня защищенности данных. Разрабатывать и принимать меры по предотвращению возможных опасных последствий подобных нарушений.

Шаг 10. Описать систему защиты личной информации.

Обратите внимание: согласно п. 19 Положения о безопасности личных сведений в информационных системах к средствам защиты конфиденциальной информации о сотруднике в таких системах должны прилагаться правила пользования указанными средствами.

Читайте также:

Защита персональных данных при автоматизированной обработке

Обратите внимание!

Статья 16 Закона № 152-ФЗ запрещает принятие решений только на основании автоматизированной обработки личных сведений.

В действующем законодательстве определение понятия автоматизированной обработки личных данных отсутствует. Конвенция Совета Европы «О защите физических лиц в отношении автоматизированной работе с персональными данными» закрепляет, что автоматизированная работа с информацией о работнике включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, выполнение логических и(или) арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

По общему правилу при принятии управленческих решений следует руководствоваться данными, полученными в результате как автоматизированной, так и неавтоматизированной работы с материалами о работнике.

Подобное требование содержится в п. 6 ст. 86 ТК РФ: при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на информации о работнике, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Других норм относительно автоматизированной обработки персданных сотрудника в ТК РФ не содержится. Поэтому следует руководствоваться Законом № 152-ФЗ, который в порядке исключения позволяет принимать решения только на основании автоматизированной работы с личными сведениями при наличии письменного согласия работника (приложение 1).

При приеме на работу от каждого нового сотрудника мы получаем письменное согласие на автоматизированную обработку его конфиденциальных материалов. Однако наши юристы говорят, что в случае, когда какое-либо решение руководства принимается на основании исключительно автоматизированной работе с  личными сведениями сотрудника, этого недостаточно. Якобы в данном случае действуют особые правила.

Читайте также:

Действия работодателя по защите персональных данных при автоматизированной обработке

Действительно, при принятии решений на основании исключительно автоматизированной обработки конфиденциальной информации, помимо получения письменного согласия сотрудника, должны соблюдаться следующие правила.

Правило 1. Работодатель обязан разъяснить работнику порядок принятия и возможные последствия такого решения, а также порядок охраны работником своих прав и законных интересов (п. 3 ст. 16 Закона № 152-ФЗ).

Правило 2. Работодатель обязан предоставить работнику возможность заявить возражение против такого решения и рассмотреть это возражение в течение семи дней со дня его получения с обязательным уведомлением сотрудника о результатах рассмотрения (п. 4 ст. 16 Закона № 152-ФЗ).

Следует обратить внимание, что Законом не регламентирована форма разъяснения, указанного в п. 3 ст. 16. Возможны два варианта проведения таких разъяснений.

Вариант 1. Разъяснение дается работнику устно. При этом в письменное согласие включается графа: «Мне разъяснен порядок принятия решения на основании автоматизированной обработки моих персданных, возможные юридические последствия такого решения и порядок защиты моих прав и законных интересов».

Вариант 2. Все разъяснения излагаются в письменной форме в виде отдельного уведомления либо включаются в текст согласия работника на автоматизированную обработку его конфиденциальных материалов.

Полагаем, что при втором варианте в текст уведомления или согласия следует включить графу о возражении сотрудника против принятия решения на основании автоматизированной работе с данными данных.

Читайте также:

Защита персональных данных без использования средств автоматизации

Особенности работы с  конфиденциальной информацией о сотруднике без использования средств автоматизации регламентируются постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Обратите внимание! Неавтоматизированная обработка конфиденциальной информации предполагает, что использование, уточнение, распространение и уничтожение конфиденциальной информации о работнике осуществляется при непосредственном участии человека.

Из содержания указанного Положения следует, что особенности и правила работы с  личными сведениями без средств автоматизации, а также категории обрабатываемой конфиденциальной информации о сотруднике могут быть установлены как нормативными правовыми актами органов исполнительной власти РФ и ее субъектов, так и локальными нормативными актами организации. Лица, осуществляющие неавтоматизированную работу с персональными материалами, должны быть проинформированы о такой обработке и ознакомлены с названными актами.

Предварительно личные сведения о сотруднике могут быть извлечены из информационной системы, а могут и оставаться в ней. Причем нахождение конфиденциальной информации о работнике в информационной системе или изъятие из нее при непосредственном участии человека в их обработке не означает автоматизированную обработку личных сведений.

Положение предусматривает, что при неавтоматизированной работе с  личными данными должны обособляться от иной информации. Такое обособление происходит посредством фиксации на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе личных данных, цели обработки которых несовместимы.

Например, нельзя фиксировать на одном материальном носителе два вида личных сведений, при том, что целью обработки одних является передача третьим лицам, а других - предоставление льгот, предусмотренных законодательством (например, информация об инвалидности, донорстве и т. д.).

Читайте также:

Условия о защите персональных данных а Положении

Зафиксируйте правила неавтоматизированной работы с персональной информацией в локальном нормативном акте о защите конфиденциальной информации о сотруднике

Отдельно в Положении регламентируется использование типовых форм документов, в которые предполагается или допускается включение личных сведений. Условия использования типовых форм при неавтоматизированной обработке персданных следующие.

Условие 1. Должны соблюдаться требования к содержанию типовой формы и связанных с ней документов (инструкции по ее заполнению, карточек, реестров и журналов). В типовую форму и связанные с ней документы должны быть включены материалы:

  • об операторе личных сведений - работодателе: Ф.И.О. или наименование и адрес;
  • о субъекте персональных данных - о работнике: фамилия, имя, отчество, адрес;
  • о цели неавтоматизированной обработки конфиденциальной информации о работнике;
  • об источнике получения персональных данных;
  • о сроках обработки конфиденциальной информации;
  • о перечне действий с персональными данными, которые будут совершаться в процессе их обработки, и общее описание используемых работодателем способов работы с конфиденциальной информацией о сотруднике.

Условие 2. Если на обработку персональных материалов требуется письменное согласие работнике, то в типовой форме должно быть предусмотрено поле, где работник может поставить отметку о своем согласии на обработку конфиденциальной информации, осуществляемую без использования средств автоматизации.

Условие 3. При ознакомлении сотрудника с его персданных, содержащимися в типовой форме, не допускается ознакомление с данными других работников. Поэтому типовая форма должна исключать возможность нарушения чужих прав и законных интересов.

Условие 4. Типовая форма должна исключать объединение полей, предназначенных для внесения личных сведений, цели обработки которых заведомо несовместимы.

Читайте также:

Защита персональных данных при пропускной системе

В нашей организации нет пропускной системы - всех работников вахтер знает, что называется, «в лицо». А вот с посторонними - проблема. Дело в том, что в течение дня в разные подразделения приходят граждане для решения рабочих вопросов.

Мы планируем ввести учет сведений о посетителях, которые получают однократный доступ в офисные помещения. Хотим разработать журнал учета посетителей и поручить вахтеру его вести.

Что нужно предусмотреть, чтобы не нарушить законодательство о защите личных данных? Если работодатель ведет журналы, реестры или книги по осуществлению однократного доступа на территорию организации, то должны соблюдаться следующие правила их ведения.

Правило 1. Необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена локальным нормативным актом и (или) организационно-распорядительным документом, который должен содержать:

  • информация о цели обработки конфиденциальных материалов о сотруднике, осуществляемой без использования средств автоматизации;
  • состав информации, запрашиваемой у субъектов персональных данных, и способ ее фиксации;
  • перечень лиц, имеющих доступ к материальным носителям;
  • перечень лиц, ответственных за ведение и сохранность журнала (реестра, книги);
  • сроки обработки личных сведений.

Правило 2. Не допускается копирование информации, содержащейся в таких журналах (реестрах, книгах).

На практике ряд конфиденциальных материалов накапливается еще до возникновения трудовых отношений, на этапе подбора персонала.

Читайте также:

Защита персональных данных будущих работников

Независимо от того, возникнут или нет впоследствии трудовые отношения с претендентами на работу, работодатель должен соблюдать требования законодательства о защите личных сведений. В связи с тем, что гл. 14 ТК РФ направлена на регулирование отношений по защите персональных данных именно в трудовых отношениях, применительно к претендентам на работу необходимо руководствоваться положениями Закона № 152-ФЗ.

Не забудьте получить согласие претендента на работу при обработке его личных сведений в процессе подбора. Поскольку лицо, претендующее на заключение трудового договора, еще не является  сотрудником, то при обработке данных в целях оценки соответствия претендента на работу предъявляемым требованиям необходимо получить его согласие на обработку.

Закон не предусматривает обязательного письменного согласия на обработку в данном случае. Однако если получаемые конфиденциальные материалы относятся к специальной категории или к биометрическим данным, а также если полученная конфиденциальная информация подлежит передаче через государственную границу РФ при трансграничной передаче, то оформление согласия в письменной форме необходимо.

Опираясь на п. 2 ст. 5 Закона № 152-ФЗ, в случае отказа в заключении трудового договора претенденту на работу все полученные от него сведения должны быть уничтожены, так как цель их обработки достигнута.

Кодекс практики Международной организации труда по защите личных сведений допускает сохранение персданных, если служащий желает оставаться в списке соискателей потенциальной работы в течение определенного периода времени.

Другой момент, связанный с подбором персонала и работой с  конфиденциальной информацией о сотруднике, - это проверка полученных рекомендаций, характеристик, установление контакта с прежним работодателем.

Читайте также:

Защита персональных данных при получении информации от третьих лиц

Согласно п. 3 ст. 86 ТК РФ все персональные данные служащего следует получать у него самого. Если конфиденциальную информацию о сотруднике можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, при условии наличия его письменного согласия (приложение 2).

Ни ТК РФ, ни Закон № 152-ФЗ не устанавливают формы такого уведомления, закрепляя требования к его содержанию (табл. 2). Несмотря на то, что Закон № 152-ФЗ прямо не устанавливает требования о согласии субъекта на получение информации от третьих лиц, данное требование вытекает из п. 1 ст. 6 Закона: обработка данных включает любые действия с конфиденциальной информации о сотруднике, в т. ч. их получение.

Перечисленные в таблице требования дополняют друг друга, в связи с чем, независимо от времени возникновения необходимости получения личных сведений от третьих лиц (до возникновения трудового отношения или в процессе трудового отношения), уведомление должно осуществляться в письменной форме и содержать все вышеперечисленные требования.

Читайте также:

Таблица 2

Условия получения персональной информации от третьих лиц

Защита персональных данных

Следует обратить внимание и на формулировку последствий отказа дать согласие на получение личных сведений: такая формулировка должна иметь правовое основание, а именно ссылку на соответствующую норму права. Однако определение такого правового основания затруднительно в случае желания потенциального работодателя установить достоверность каких-либо фактов, касающихся претендента на работу.

Если при заключении трудового договора работодатель желает удостовериться в подлинности документов об образовании и правомерности их выдачи, то для получения ответа на запрос, направленный в образовательное учреждение, выдавшее соответствующий документ, необходимо иметь письменное согласие субъекта персональных данных.

Очевидно, что в случае отказа предоставить такое согласие отсутствуют правовые основания для отказа в заключении трудового договора (при условии соблюдения требований ст. 64 и 65 ТК РФ).

Защита персональных данных лиц, не являющихся работниками организации

Отметим, что ТК РФ регламентирует обработку только личных сведений работников, в то время как в процессе деятельности организации в ней могут накапливаться персональные сведения лиц, не являющихся работниками, к которым получают доступ сотрудники организации.

Часть таких сведений можно отнести к режиму коммерческой тайны, например информацию о клиентах (клиентскую базу). Материалы о клиентах могут также сохраняться в режиме аудиторской, налоговой, нотариальной тайны. Сведения о пациентах защищаются в режиме врачебной тайны.

Однако не все персональные данные лиц, не являющихся сотрудниками организации, могут быть сохранены в режиме какой-либо тайны, что не исключает необходимость обеспечить охрану таких сведений. Например, работники отдела кадров, бухгалтеры, секретари получают доступ к различным категориям информации. Между тем законодательство не предусматривает обязанности хранить кадровую, бухгалтерскую или секретарскую тайну.

Читайте также:

Однако в соответствии со ст. 7 Закона № 152-ФЗ операторы и третьи лица, получившие доступ к сведениям, должны обеспечивать конфиденциальность таких сведений. Поэтому включение в трудовые договоры таких сотрудников условия о сохранении конфиденциальности личных сведений необходимо.

Принимая во внимание тот факт, что увольнение сотрудника по основанию, предусмотренному подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, возможно только за разглашение персональной информации другого работника, следует установить режим какой-либо тайны в отношении данных других лиц: служебной, коммерческой или иной.

Если материалы лиц, не являющихся работниками, не могут быть отнесены к какой-либо из регламентированных законом тайн (государственной, служебной, коммерческой или иной), то не представляется возможным прекращение трудового договора по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ (несмотря на требование Закона № 152-ФЗ об обеспечении их конфиденциальности).

В любом случае при нарушении сотрудником конфиденциальности личных сведений лиц, не являющихся работниками организации, допустимо привлечение к административной ответственности (ст. 13.11 КоАП РФ). Также при надлежащем оформлении обязанностей сотрудника по обеспечению конфиденциальности - при виновном нарушении им таких обязанностей - работодатель может применить к работнику дисциплинарное взыскание в виде замечания или выговора.

Обязанности по обеспечению конфиденциальности сведений, определенных в локальном нормативном акте, должны быть закреплены в трудовых договорах сотрудников, получающих доступ к таким сведениям.

Читайте также:

Приложение 1

Примерная форма согласия на принятие решения на основании исключительно автоматизированной обработки персональной информации

Примерная форма согласия на принятие решения на основании исключительно автоматизированной обработки персональной информации

Приложение 2

Примерная форма согласия на получение персональных данных от третьих лиц

Примерная форма согласия на получение персональных данных от третьих лиц



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией


Рассылка




PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Статья для специалистов по работе с кадрами!

Зарегистрируйтесь, чтобы продолжить чтение.

Дополнительно Вы сможете:
- прочитать еще 5600 рекомендаций по кадровой и HR-тематике
- скачать 4800 готовых образцов документов
- посмотреть 54 видеолекции по трудовому законодательству

Подарок дня: Справочник должностных инструкций по профстандартам

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте и скачайте файл!

Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль