Как организовать защиту персональных данных сотрудников

Автор: | 24.08.2015

Как организовать защиту персональных данных сотрудников

Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).

Что считать персональными данными

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

  • паспортные данные;
  • семейное положение;
  • сведения об образовании;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

  • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
  • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Обратите внимание

Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Журналы учета персональных данных

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

Журнал учета внутреннего доступа к персональным данным работников

В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

Журнал учета выдачи персональных данных работников организациям и государственным органам

В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

В Положении должны быть указаны:

  • цель и задачи фирмы в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в компании имеет к ним доступ;
  • как персональные данные защищаются от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Кто утверждает Положение о защите персональных данных

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя. Положение о защите персональных данных выглядит так:

Как организовать защиту персональных данных сотрудников

Как организовать защиту персональных данных сотрудников

Как организовать защиту персональных данных сотрудников

Как организовать защиту персональных данных сотрудников

Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Оформляют приложение так:

Как организовать защиту персональных данных сотрудников

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

Как организовать защиту персональных данных сотрудников

Уведомление об обработке персональных данных

Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор. Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки. Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.

Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных», соответствующие уставным задачам и осуществляемой деятельности.

В поле «категории ПД» указывается, какие данные (персональные, биометрические, специальные) подвергаются обработке. В поле «категории субъектов, ПД которых обрабатываются» следует указать эту категорию, например, «работники, состоящие в трудовых отношениях с оператором».

В поле «правовое основание обработки ПД» указываются статьи нормативно-правового акта, касающиеся обработки ПД: например, «ст. 85–90 Трудового кодекса РФ», «ст. 85.1 Воздушного кодекса РФ», «ст. 12 Федерального закона “Об актах гражданского состояния”» и др. В отдельном поле указываются действия оператора и способы обработки ПД (неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная).

В поле «дата начала обработки ПД» указываются число, месяц, год фактического начала любого действия.


Если у Вас есть вопрос — задайте его здесь >>


Читайте также по теме:

Формирование личных дел сотрудников

Профстандарт бухгалтера

Тариф страхового взноса при ведении нескольких видов бизнеса


Читать оригинал