Защита персональных данных работников

30867
Положение о защите персональных данных является обязательным ЛНА в организации. Его подписание должно происходить еще до заключения трудового договора. В этой связи у работодателей возникает множество вопросов по поводу обработки и охраны таких данных работника. О том, как правильно построить работу и не допускать ошибок в вопросах применения данного закона, читайте в нашей статье.

Защита персональных данных работника

Итак, установление режима конфиденциальности приватных сведений требует принятия их оператором (работодателем) ряда мер: правовых, организационных и технических.

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) оператор при работе с персданными о сотруднике обязан принимать необходимые организационные и технические меры. В т. ч. использовать шифровальные (криптографические) средства для охраны данных от неправомерных действий.

При этом Закон не раскрывает содержания мер охраны личных данных. Ясно только, что цель таких мер - охрана от неправомерного или случайного доступа к материалам.

Правовые, организационные и технические меры, которые работодатель должен принимать для охраны данных работника, представлены в таблице 1.

Меры защиты персональных данных

Вид мер

Содержание мер

Рекомендации

1

2

3

Правовые меры

Разработка перечня сведений, отнесенных к приватным материалам

Следует отнести их к конкретному виду тайны и разграничить по категориям

Разработка локальных нормативных актов, регламентирующих вопросы обеспечения безопасности:

  • положения об охране персональных данных;
  • инструкции о порядке доступа к носителям персональных данных;
  • инструкции по автоматизированной и неавтоматизированной обработке персональных данных;
  • ЛНА о структурных подразделениях, обеспечивающих безопасность информации;
  • положения, регламентирующие организацию конфиденциального делопроизводства;
  • должностные инструкции сотрудников, работающих с такими данными сотрудников и т.д.

В локальных нормативных актах следует отразить особенности обработки каждой категории данных, в т.ч. особенности автоматизированной и неавтоматизированной обработки.

Также необходимо предусмотреть меры по охране.

Заключение договоров с условием об обязанности персонала в области обеспечения конфиденциальности и защиты от утери, порчи или несанкционированного использования.

Трудовые договоры с условием об обеспечении конфиденциальности персональных данных должны заключаться со всеми лицами, получающими доступ к персональным данным в процессе трудовых отношений.

ТД с условием об обеспечении конфиденциальности персональных данных должны заключаться со всеми лицами, получающими доступ к данным в процессе трудовых отношений.
В договоре (дополнительном соглашении) следует указать следующие обязанности:

  1. Соблюдать требования по получению и обработке;
  2. Принимать меры по обеспечению и конфиденциальности;
  3. Не использовать такие сведения в целях, не связанных с осуществлением трудовой функции;
  4. Не разглашать полученную информацию о персонале, а также не совершать других действий, влекущих уничтожение или утрату персональных данных или утерю их ценности для субъекта персональных данных.

Разработка и заключение соглашений о даче согласий на обработку индивидуальных данных и (или) их передачу, уведомлений об обработке персональных данных и т.п.

Содержание согласия на обработку приватных данных должно соответствовать требованиям ст.9 Закона о персональных данных.

Прочитайте полезные статьи по теме:

Продолжение табл. 1

Регламентация и установление гарантий для персонала, получающих доступ к конфиденциальным данным

В локальном нормативном акте могут быть предусмотрены дополнительные гарантии для членов коллектива, получающих доступ к конфиденциальной информации, например:

- преимущественное право на оставление на работе при сокращении численности или штата;

Доплаты и надбавки к заработной плате за работу с конфиденциальной информацией и т.д.

Организационные меры

Определение и учет лиц, получающих доступ к приватным данным. При этом в случае обработки в информационных системах составление списка лиц, получающих доступ к данным, является обязательным. Перечень подлежит утверждению работодателем (п. 14 Положения о безопасности персональных данных в информационных системах).

Работодателю следует составить список лиц, получающих доступ к таким сведениям. В договоры этих сотрудников обязательно включаются условия об обеспечении конфиденциальности персональных данных.

Организация и ограничение доступа.

Система охраны не должна остаться только на бумаге. Работодателю следует принять меры, направленные на исключение получения доступа к конфиденциальным персональным данным неуполномоченных лиц.

Формирование структурных подразделений, осуществляющих работу с персональными данными и обеспечивающих их защиту.

В функции такого структурного подразделения должна входить организация и обеспечение систем защиты персональных данных. Эти функции следует указать в локальном нормативном акте (в т.ч. может быть разработан документ о данном структурном подразделении). В небольших организациях такие функции могут быть поручены одному работнику. Возложение обязанностей по организации охраны персональных данных должно найти свое отражение в трудовом договоре и должностной инструкции.

Организация работы с персональными данными в т.ч. организация конфиденциального делопроизводства и работы с материальными носителями персональных данных.

Следует предусмотреть правила работы с персональными данными и правила конфиденциального делопроизводства в локальных нормативных актах. Необходимо обеспечить реализацию указанных правил. В т.ч. посредством применения взысканий к работникам, допустившим их нарушение.  

Организация обучения и проверки знаний по работе с персональными данными.

В локальном акте следует предусмотреть периодичность такого обучения и проведения проверок знаний, а также их последствия. Необходимо определить лиц, ответственных за проведение проверок. Вопросы, касающиеся защиты персональных данных, могут быть включены в перечень вопросов, выносимых на аттестацию сотрудника, при условии, что в обязанности трудящегося входит знание порядка обработки персональных данных в связи с осуществлением его трудовой функции.

Установление степеней конфиденциальности сведений и занесение соответствующих грифов на носители персональных данных.

Для специальных категорий персональных данных может быть установлен гриф «Строго конфиденциально», для других  категорий – «конфиденциально».

Окончание табл. 1

Технические меры

Под техническими средствами, позволяющими осуществлять обработку, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки индивидуальных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Отсутствие технических мер охраны может привести к неэффективности всей системы защиты.

Локальный нормативный акт о защите персональных данных работников в ТК РФ

В первую очередь (и это прямо предусмотрено законом) работодатель обязан разработать и утвердить локальный нормативный акт. Данный акт устанавливает порядок обработки таких сведений, меры и способы охраны этих сведений от утери и несанкционированного использования.

В компанию, занимающуюся оптово-розничной торговлей, пришел новый начальник отдела кадров. Принимая дела, он провел внутренний аудит всех кадровых документов, включая локальные нормативные акты, которые должны быть в каждой компании.

Выяснилось, что никакого документа, регламентирующего порядок работы с информацией о члене коллектива и защиты персданных в организации нет. Чтобы исправить это упущение, решено было срочно утвердить такой документ.

Разработали текст, а дальше встал вопрос. Нужно ли при утверждении локального нормативного акта, устанавливающего порядок обработки и способы охраны информации о сотруднике, учитывать мнение представительного органа сотрудников?

Прочитайте полезные статьи по теме:

Общее правило приведено в ч. 2 ст. 8 ТК РФ. В случаях, предусмотренных трудовым законодательством, другими федеральными законами и иными нормативными правовыми актами, коллективным договором, соглашениями, работодатель, принимая локальный нормативный акт, обязан учитывать мнение представительного органа коллектива (при наличии такого органа).

При этом Кодекс прямо не предусматривает такую обязанность работодателя в случае принятия локального нормативного акта о порядке работы с личными сведениями. Поэтому можно сделать вывод, что учет представительного органа сотрудников в этой ситуации не требуется.

П. 10 ст. 86 Трудового Кодекса РФ содержит требование совместной разработки таких мер работодателями, коллективом и их представителями. В то же время - наряду с установленной Законом № 152-ФЗ обязанностью оператора принимать необходимые меры по обеспечению конфиденциальности материалов о персонале. А вот что означает такая «совместная разработка мер» - не вполне ясно.

Полагаем, что в целях соблюдения интересов сотрудников. И с учетом п. 10 ст. 86 ТК РФ локальный нормативный акт, регламентирующий в т. ч. защиту информации о сотруднике, стоит принимать с учетом мнения представительного органа коллектива (при его наличии).

Прочитайте полезные статьи по теме:

Ознакомление работников с локальным актом о защите личных сведений работника

Процедура принятия локального нормативного акта об охране индивидуальных сведений персонала и порядок выработки мер такой охраны могут быть предусмотрены в:

  • коллективном договоре;
  • другом локальном нормативном акте.

Например в Инструкции по делопроизводству.

Закон содержит требование об обязательном ознакомлении сотрудников и их представителей под роспись с документами работодателя. В том числе с устанавливающими порядок обработки личных сведений работников, а также их права и обязанности в этой области (п. 8 ст. 86 Трудового Кодекса РФ).

   

Номер журнала в подарок!

СКАЧАТЬ НОМЕР

Ваша задача не только выполнить данную обязанность, но и обеспечить документальное подтверждение того, что все сотрудники под роспись ознакомлены с документами, устанавливающими:

  • порядок работы с личными сведениями,
  • их права и обязанности в этой области.

Требования к охране информации о сотруднике  различаются в зависимости от того, обрабатываются личная информация в информационных системах или вне таковых, с использованием средств автоматизации или без них.

Прочитайте полезные статьи по теме:

Оформление и утверждение Положения о защите персональных данных работника

Унифицированная форма такого локального нормативного акта, как Положение о персональных данных работников, нормативными актами не предусмотрена. Документ составляется в произвольной текстовой форме. Конечно, при этом должны соблюдаться общие правила оформления документов. Определим их.

Правило 1. Локальный нормативный акт об охране конфиденциальности материалов о персонале оформляется на бланке работодателя, где указываются:

  • наименование работодателя;
  • место составления документа;
  • наименование вида документа (Положение о персональных данных работников);
  • заголовок к тексту (об охране персданных).

Правило 2. Мнение представительного органа сотрудников (если он есть) учитывается в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.

Работодатель направляет в представительный орган коллектива проект документа и обоснование по нему. Представительный орган коллектива в течение пяти рабочих дней составляет письменное мотивированное мнение по проекту. На проекте документа оформляется отметка об учете мнения.

Правило 3. Положение о персональных данных работников утверждается руководителем организации или иным уполномоченным должностным лицом. Издается отдельный приказ или оформления грифа утверждения на самом документе.

Правило 4. С ЛНА сотрудники должны быть ознакомлены под роспись.

Для лиц, принимаемых на работу, действуют специальные правила ознакомления. Они знакомятся с локальными нормативными актами работодателя, непосредственно связанными с их трудовой деятельностью. В т. ч. с ЛНА о охране конфиденциальных данных, до подписания трудового договора (ч. 3 ст. 68 ТК РФ).

Прочитайте полезные статьи по теме:

Защита персональных данных работников в информационных системах

Информационные системы - совокупность приватных сведений, содержащихся в базе данных. А также информационных технологий и технических средств, позволяющих осуществлять обработку таких сведений с использованием средств автоматизации или без использования таковых.

Особенности охраны информации о сотруднике при их обработке в информационных системах устанавливаются ЛНА об обеспечении безопасности информации о сотруднике. При их обработке в информационных системах персональных данных работника, утв. постановлением Правительства РФ от 17.11.2007 № 781и Положением о методах и способах защиты информации в информационных системах индивидуальных сведений, утв. приказом ФСТЭК России от 05.02.2010 № 58.

Требования указанных документов должны быть соблюдены работодателем при организации охраны персональных данных работника в информационных системах.

В нашей компании работа с персональными данными работника производится в информационной системе. Правда, до недавних пор мы особо о защите таких данных не заботились, но после ряда публикаций в «Справочнике кадровика» решили навести порядок и в этом вопросе.

Понятно, что самостоятельно этого не сделать, нужна помощь «айтишников», а они только руками разводят и говорят: объясните конкретно, чего хотите. Что нам нужно сделать, чтобы обязанность по охране данных сотрудников при их обработке в информационной системе была выполнена?

При работе с личными сведениями сотрудников в информационной системе работодатель должен обеспечить:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к личным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • своевременное обнаружение фактов несанкционированного доступа к индивидуальным данным;
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных работника, в результате которого может быть нарушено их функционирование;
  • возможность незамедлительного восстановления персональных данных работника, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • постоянный контроль за уровнем защищенности приватных данных.

Читайте также:

Действия работодателя по защите персональных данных работников

Чтобы обеспечить безопасность персданных трудящихся при их обработке в информационных системах, нужно выполнить следующие действия.

Шаг 1. Определить угрозы безопасности персональным данным работника при их обработке и сформировать на их основе соответствующие модели.

Шаг 2. Разработать на основе модели угроз систему охраны приватных сведений. Она должна обеспечить нейтрализацию предполагаемых угроз, с использованием методов и способов защиты информации о сотрудниках. Должна быть предусмотрена для соответствующего класса информационных систем.

Шаг 3. Проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.

Шаг 4. Установить и ввести в эксплуатацию средства охраны информации в соответствии с эксплуатационной и технической документацией.

Шаг 5. Обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

Шаг 6. Учитывать применяемые средства защиты информации, эксплуатационную и техническую документацию к ним, носители информации о гражданине.

Шаг 7. Учитывать лиц, допущенных к работе с персданными в информационной системе.

Шаг 8. Контролировать соблюдение условий использования средств защиты материалов, предусмотренных эксплуатационной и технической документацией.

Шаг 9. Составлять заключения по фактам:

  • несоблюдения условий хранения носителей индивидуальных сведений,
  • использования средств охраны информации, которые могут привести к нарушению конфиденциальности данных или другим нарушениям, приводящим к снижению уровня защищенности данных.

Разрабатывать и принимать меры по предотвращению возможных опасных последствий подобных нарушений.

Шаг 10. Описать систему защиты личной информации.

Согласно п. 19 Положения о безопасности приватных сведений в информационных системах к средствам защиты конфиденциальной информации о сотруднике в таких системах должны прилагаться правила пользования указанными средствами.

Прочитайте полезные статьи по теме:

Защита персональных данных при автоматизированной обработке в ТК РФ

Обратите внимание!

Статья 16 Закона № 152-ФЗ запрещает принятие решений только на основании автоматизированной обработки индивидуальных сведений.

В действующем законодательстве определение понятия автоматизированной обработки персональных данных работника отсутствует.

Конвенция Совета Европы «О защите физических лиц в отношении автоматизированной работе с персональными данными» закрепляет, что автоматизированная работа с информацией о сотруднике включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств.

Хранение информации, выполнение логических и(или) арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

При принятии управленческих решений следует руководствоваться данными, полученными в результате как автоматизированной, так и неавтоматизированной работы с материалами о сотруднике.

Подобное требование содержится в п. 6 ст. 86 Трудового Кодекса. При принятии решений, затрагивающих интересы члена коллектива, работодатель не имеет права основываться на информации о работнике. Которая получена исключительно в результате их автоматизированной обработки или электронного получения.

Других норм относительно автоматизированной обработки персданных сотрудника в трудовом законодательстве не содержится. Поэтому следует руководствоваться Законом № 152-ФЗ. Он в порядке исключения позволяет принимать решения только на основании автоматизированной работы с личными сведениями при наличии письменного согласия (приложение 1).

При приеме на работу от каждого нового сотрудника мы получаем письменное согласие на автоматизированную обработку его конфиденциальных материалов. Однако наши юристы говорят, что в случае, когда какое-либо решение руководства принимается на основании исключительно автоматизированной работе с  личными сведениями сотрудника, этого недостаточно. Якобы в данном случае действуют особые правила.

Прочитайте полезные статьи по теме:

Персональные данные работника при автоматизированной обработке

Действительно, при принятии решений на основании исключительно автоматизированной обработки конфиденциальной информации должны соблюдаться следующие правила. Помимо получения письменного согласия сотрудника.

Правило 1. Работодатель обязан разъяснить сотруднику порядок принятия и возможные последствия такого решения, а также порядок охраны работником своих прав и законных интересов (п. 3 ст. 16 Закона № 152-ФЗ).

Правило 2. Работодатель обязан предоставить работнику возможность заявить возражение против такого решения. И рассмотреть такое возражение в течение семи дней со дня его получения с обязательным уведомлением сотрудника о результатах рассмотрения (п. 4 ст. 16 Закона № 152-ФЗ).

Следует обратить внимание, что Законом не регламентирована форма разъяснения, указанного в п. 3 ст. 16. Возможны два варианта проведения таких разъяснений.

Вариант 1. Разъяснение дается работнику устно. При этом в письменное согласие включается графа: «Мне разъяснен порядок принятия решения на основании автоматизированной обработки моих персданных, возможные юридические последствия такого решения и порядок защиты моих прав и законных интересов».

Вариант 2. Все разъяснения излагаются в письменной форме в виде отдельного уведомления либо включаются в текст согласия работника на автоматизированную обработку его конфиденциальных материалов.

Полагаем, что при втором варианте в текст уведомления или согласия следует включить графу о возражении сотрудника против принятия решения на основании автоматизированной работе.

Прочитайте полезные статьи по теме:

Право трудовое при защите персональных данных работника без использования средств автоматизации

Особенности работы с конфиденциальной информацией о сотруднике без использования средств автоматизации регламентируются следующим документом. Постановление Правительства России от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персданных, осуществляемой без использования средств автоматизации».

Обратите внимание! Неавтоматизированная обработка конфиденциальной информации предполагает, что обработка осуществляется при непосредственном участии человека.

Из содержания указанного документа следует, что особенности и правила работы с личными сведениями без средств автоматизации. А также категории обрабатываемой конфиденциальной информации о сотруднике могут быть установлены:

  • нормативными правовыми актами органов исполнительной власти страны и ее субъектов,
  • локальными нормативными актами организации.

Лица, осуществляющие неавтоматизированную работу с персональными материалами, должны быть проинформированы о такой обработке и ознакомлены с названными актами.

Предварительно личные сведения о сотруднике могут быть извлечены из информационной системы, а могут и оставаться в ней. Причем нахождение конфиденциальной информации в ИС или изъятие из нее при непосредственном участии человека не означает автоматизированную обработку приватных сведений.

Акт предусматривает, что при неавтоматизированной работе с личными данными должны обособляться от иной информации. Такое обособление происходит посредством фиксации на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных работника, цели обработки которых несовместимы.

Например, нельзя фиксировать на одном материальном носителе два вида индивидуальных сведений. При том, что целью обработки одних является передача третьим лицам, а других - предоставление льгот, предусмотренных законодательством (например, информация об инвалидности, донорстве и т. д.).

Прочитайте полезные статьи по теме:

Защита личной информации и Положение о персональных данных работников

Зафиксируйте правила неавтоматизированной работы с персональной информацией в локальном нормативном акте о защите конфиденциальной информации о сотруднике

Отдельно в ЛНА регламентируется использование типовых форм документов, в которые предполагается или допускается включение конфиденциальных сведений. Условия использования типовых форм при неавтоматизированной обработке персданных следующие.

Условие 1. Должны соблюдаться требования к содержанию типовой формы и связанных с ней документов (инструкции по ее заполнению, карточек, реестров и журналов). В типовую форму и связанные с ней документы должны быть включены материалы:

  • об операторе приватных сведений - работодателе: Ф.И.О. или наименование и адрес;
  • о субъекте персональной информации - о работнике: фамилия, имя, отчество, адрес;
  • о цели неавтоматизированной обработки конфиденциальной информации о работнике;
  • об источнике получения персданных;
  • о сроках обработки конфиденциальной информации;
  • о перечне действий с персональными материалами, которые будут совершаться в процессе их обработки, и общее описание используемых работодателем способов работы с конфиденциальной информацией о сотруднике.

Условие 2. Если на обработку персональных материалов требуется письменное согласие работника, то в типовой форме должно быть предусмотрено поле подписи. В нем работник может поставить отметку о своем согласии на обработку конфиденциальной информации, осуществляемую без использования средств автоматизации.

Условие 3. При ознакомлении сотрудника с его персданных, содержащимися в типовой форме, не допускается ознакомление с данными других работников. Поэтому типовая форма должна исключать возможность нарушения чужих прав и законных интересов.

Условие 4. Типовая форма должна исключать объединение полей, предназначенных для внесения индивидуальных сведений, цели обработки которых заведомо несовместимы.

Прочитайте полезные статьи по теме:

Трудовое право в отношении защиты персональных данных при пропускной системе

В нашей организации нет пропускной системы - всех работников вахтер знает, что называется, «в лицо». А вот с посторонними - проблема. Дело в том, что в течение дня в разные подразделения приходят граждане для решения рабочих вопросов.

Мы планируем ввести учет сведений о посетителях, которые получают однократный доступ в офисные помещения. Хотим разработать журнал учета посетителей и поручить вахтеру его вести.

Что нужно предусмотреть, чтобы не нарушить законодательство о защите персональных данных работника?

Если работодатель ведет журналы, реестры или книги по осуществлению однократного доступа на территорию организации, то должны соблюдаться следующие правила их ведения.

Правило 1. Необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена локальным нормативным актом и (или) организационно-распорядительным документом, который должен содержать:

  • информация о цели обработки конфиденциальных материалов о сотруднике, осуществляемой без использования средств автоматизации;
  • состав информации, запрашиваемой у субъектов персданных, и способ ее фиксации;
  • перечень лиц, имеющих доступ к материальным носителям;
  • перечень лиц, ответственных за ведение и сохранность журнала (реестра, книги);
  • сроки обработки конфиденциальных сведений.

Правило 2. Не допускается копирование информации, содержащейся в таких журналах (реестрах, книгах).

На практике ряд конфиденциальных материалов накапливается еще до возникновения трудовых отношений, на этапе подбора персонала.

Прочитайте полезные статьи по теме:

Защита данных будущих работников и положение о персональных данных

Защита персональных данных - это комплекс мероприятий направленный на сохранение конфиденциальности данных персональных для сотрудников.

Независимо от того, возникнут или нет впоследствии отношения с претендентами на работу, работодатель должен соблюдать требования законодательства о защите приватных сведений. В связи с тем, что гл. 14 Кодекса направлена на регулирование отношений по защите персданных именно в процессе труда. Применительно к претендентам на работу необходимо руководствоваться пунктами Закона № 152-ФЗ.

Не забудьте получить согласие претендента на работу при обработке его приватных сведений в процессе подбора. Лицо, претендующее на заключение договора, еще не является сотрудником. При обработке данных в целях оценки соответствия претендента на работу предъявляемым требованиям необходимо получить его согласие на обработку.

Закон не предусматривает обязательного письменного согласия на обработку в данном случае. Оформление согласия в письменной форме необходимо, если получаемые конфиденциальные материалы:

  • относятся к специальной категории или к биометрическим данным,
  • если полученная конфиденциальная информация подлежит передаче через государственную границу России при трансграничной передаче.

Опираясь на п. 2 ст. 5 Закона № 152-ФЗ, в случае отказа в заключении ТД претенденту на работу все полученные от него сведения должны быть уничтожены. Так как цель их обработки достигнута.

Кодекс практики Международной организации труда по защите приватных сведений допускает сохранение персданных. Если служащий желает оставаться в списке соискателей потенциальной работы в течение определенного периода времени.

Другой момент, связанный с подбором персонала - это проверка полученных рекомендаций, характеристик, установление контакта с прежним работодателем.

Прочитайте полезные статьи по теме:

Защита персональных данных работника при получении информации от третьих лиц

Защита персональных данных работника возлагается на плечи компании. Согласно п. 3 ст. 86 ТК РФ всю личную информацию служащего следует получать у него самого. Если конфиденциальную информацию о сотруднике можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее. При условии наличия его письменного согласия (приложение 2).

Ни Трудовой Кодекс, ни Закон № 152-ФЗ не устанавливают формы такого уведомления, закрепляя требования к его содержанию (табл. 2). Несмотря на то, что Закон № 152-ФЗ прямо не устанавливает требования о согласии субъекта на получение информации от третьих лиц, данное требование вытекает из п. 1 ст. 6 Закона. Обработка данных включает любые действия с конфиденциальной информации о сотруднике, в т. ч. их получение.

Перечисленные в таблице требования дополняют друг друга. В связи с чем, независимо от времени возникновения необходимости получения личных сведений от третьих лиц (до возникновения трудового отношения или в его процессе), уведомление должно осуществляться в письменной форме. И содержать все вышеперечисленные требования.

Прочитайте полезные статьи по теме:

Таблица 2

Условия получения персональной информации от третьих лиц

Защита персональных данных

Следует обратить внимание и на формулировку последствий отказа дать согласие на получение индивидуальных сведений. Такая формулировка должна иметь правовое основание, а именно ссылку на соответствующую норму права. Однако определение такого правового основания затруднительно в случае желания установить достоверность каких-либо фактов, касающихся претендента на работу.

При заключении договора работодатель желает удостовериться в подлинности документов об образовании и правомерности их выдачи. То для получения ответа на запрос, направленный в образовательное учреждение, выдавшее соответствующий документ. Необходимо иметь письменное согласие субъекта приватных материалов.

Очевидно, что в случае отказа предоставить такое согласие отсутствуют правовые основания для отказа в заключении ТД (при условии соблюдения требований ст. 64 и 65 Трудового Кодекса РФ).

Данные и их защита для лиц, не являющихся работниками организации

Отметим, что трудовое законодательство регламентирует обработку только конфиденциальных сведений работников. В то время как в процессе деятельности организации в ней могут накапливаться персональные сведения лиц, не являющихся работниками, к которым получают доступ сотрудники организации.

Часть таких сведений можно отнести к режиму коммерческой тайны, например информацию о клиентах (клиентскую базу). Материалы о клиентах могут также сохраняться в режиме аудиторской, налоговой, нотариальной тайны. Сведения о пациентах защищаются в режиме врачебной тайны.

Однако не все данные лиц, не являющихся сотрудниками организации, могут быть сохранены в режиме какой-либо тайны, что не исключает необходимость обеспечить охрану таких сведений. Например, работники отдела кадров, бухгалтеры, секретари получают доступ к различным категориям информации. Между тем законодательство не предусматривает обязанности хранить кадровую, бухгалтерскую или секретарскую тайну.

Прочитайте полезные статьи по теме:

Однако в соответствии со ст. 7 Закона № 152-ФЗ операторы и третьи лица, получившие доступ к сведениям, должны обеспечивать конфиденциальность таких сведений. Поэтому включение в договоры таких сотрудников условия о сохранении конфиденциальности приватных сведений необходимо.

Увольнение сотрудника по основанию, предусмотренному подп. «в» п. 6 ч. 1 ст. 81 Трудового Кодекса, возможно только за разглашение персональной информации другого работника. Установить режим какой-либо тайны в отношении данных других лиц: служебной, коммерческой или иной.

Материалы лиц, не являющихся работниками, не могут быть отнесены к какой-либо из регламентированных законом тайн (государственной, служебной, коммерческой или иной). Не представляется возможным увольнение по подп. «в» п. 6 ч. 1 ст. 81 Трудового Кодекса (несмотря на требование Закона № 152-ФЗ об обеспечении их конфиденциальности).

При нарушении сотрудником конфиденциальности таких сведений лиц, не являющихся работниками организации, допустимо привлечение к административной ответственности (ст. 13.11 КоАП РФ). Также работодатель может применить к работнику дисциплинарное взыскание в виде замечания или выговора:

  • при надлежащем оформлении обязанностей сотрудника по обеспечению конфиденциальности,
  • при виновном нарушении им таких обязанностей.

Обязанности по обеспечению конфиденциальности, определенных в ЛНА, должны быть закреплены в ТД сотрудников, получающих доступ к таким сведениям.

Приложение 1

Примерная форма согласия на принятие решения на основании исключительно автоматизированной обработки персональной информации

Примерная форма согласия на принятие решения на основании исключительно автоматизированной обработки персональной информации

Приложение 2

Примерная форма согласия на получение персональных данных от третьих лиц

Примерная форма согласия на получение персональных данных от третьих лиц

Автор: Станскова У. М., старший преподаватель кафедры трудового и социального права Южно-Уральского государственного университета.

Прочитайте полезные статьи по теме:

Читайте в этом месяце
    Узнать подробнее >>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией




      PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Свидетельство о регистрации ПИ № ФС77-64204 от 31.12.2015

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Извините, что прерываем ваше чтение

      Чтобы обеспечить качество материалов и защитить авторские права наших экспертов, многие статьи на сайте находятся в закрытом доступе для незаарегистрированных пользователей.
      Зарегистрируйтесь, чтобы продолжить чтение. Это займет меньше минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И читать продолжение
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Зарегистрируйтесь на сайте и скачайте файл!

      Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Ваш подарок придет на указанный при регистрации Email
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль