Timeplus-kazan.ru

Консультации адвоката
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как ведется работа с персональными данными в организации?

Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

В России к обработке персональных данных предъявляют ряд требований. Компании, оперирующие информацией из данной категории, регистрируются в Роскомнадзоре в качестве операторов, а при использовании ПДн – руководствуются указанными в профильном законе принципами и правилами.

В материале мы расскажем об условиях и правилах обработки конфиденциальных сведений физлиц, предоставим инструкцию по обеспечению безопасности помещений и поговорим о порядке действий при работе с информацией из категории персональных данных.

С чего начать?

Для этого оператор должен воспользоваться утвержденной формой и рекомендациями по ее заполнению. Документ направляется в территориальный орган Роскомнадзора. Если же оператор решит обойтись без уведомления регулятора, получит штраф от 3 до 5 тысяч рублей, в некоторых случаях наказания могут оказаться более суровыми – вплоть до закрытия сайта нарушившего закон предприятия.

В России действует следующая классификация:

  • Персональные данные (относящиеся к физическому лицу).
  • Специальные категории (ведомости о вероисповедании, состоянии здоровья, политических убеждениях, расовой и национальной принадлежности).
  • Биометрические сведения (физиологические и биологические особенности).

Кроме этого, оператору персональных данных следует подготовить документацию по системе, защите сведений, создать документ под названием «Политика в отношении защиты персональной информации» и предоставить физическим лицам возможность давать или не давать разрешение оператору обработку определенных сведений личного характера.

Какие способы обозначил Роскомнадзор?

Роскомнадзор выделил три основных способа обработки информации:

  • Неавтоматизированная обработка сведений конфиденциального характера.
  • Исключительно автоматизированное взаимодействие с передачей данных по сети или без нее.
  • Смешанная обработка персональных данных физических лиц.

Вторая и третья модели обращения с сведениями требуют дополнительного уточнения – какая именно сеть (если вообще предусмотрена) используется для передачи конфиденциальных ведомостей: сеть юридического лица (внутренняя) либо сеть общего пользования Интернет. От указанных выше данных будет зависеть степень защищенность системы и характер угроз.

Законодательные условия

Условиям обработки посвящена статья 6 Федерального закона «О персональных данных». Несоблюдение нижеуказанных условий может стать основанием для санкций со стороны Роскомнадзора, вплоть до отзыва разрешения на работу с ведомостями.

  1. Обязательным условием для оператора является согласие субъекта персональных сведений.
  2. Обработка информации физических лиц допускается для достижения целей, предусмотренных законами Российской Федерации, международными договоренностями и реализации полномочий, функций и обязанностей, возложенных на оператора (о том, каким может быть правовое обоснование для обработки ПД, мы рассказывали тут) .
  3. Допускается использование для совершения правосудия, исполнения судебного решения, акта другого органа или должностного лица, действующего в рамках законодательства Российской Федерации об исполнительном производстве. Данный пункт освобождает оператора от надобности получать согласие у субъекта, а также прекращать работать со сведениями в случае получения отзыва. Правила действуют вплоть до момента осуществления правосудия, после этого ведомости удаляются.
  4. Обработка является необходимой мерой для исполнения обязанностей федеральных властей, внебюджетных фондов, органов местного управления и других организаций, действующих на основе Федерального закона России «Об организации предоставления государственных и муниципальных услуг» № 210 от 27 июля 2010 года.

Принципы в организации работы

Статья 5 ФЗ «О персональных данных» определяет несколько основных принципов, которых должны придерживаться операторы на всех этапах работы.

  1. Справедливое и законное основание для сбора и обработки.
  2. Допускаются манипуляции со сведениями для достижения конкретных, заранее указанных целей. Использование ПДн для достижения целей, не совместимых с утвержденными ранее, запрещена (для каких целей можно использовать обработку ПД читайте тут).
  3. Базы, содержащие ПДн, собранные с разными целями, не могут быть объединены.
  4. Если в процессе сбора информации оператор получил в распоряжение сведения, не отвечающие целям обработки, он не имеет права их использовать. Намеренное получение избыточных относительно целей данных также недопустимо для оператора.
  5. Оператор берет на себя обязательства по поддержанию точности, достаточности и актуальности. Неполные и неточные данные должны быть отредактированы, уточнены или удалены.
  6. После достижения целей сбора персональной информации физических лиц, сведения должны быть переведены в обезличенную форму или уничтожены оператором.

Общий порядок действий

  1. Уведомление Роскомнадзора о намерениях начать обработку.
  2. Включение компании в Реестр операторов персональных данных.
  3. Разработка политики оператора в отношении обработки информации.
  4. Назначение ответственного за защиту ПДн лица.
  5. Подготовка документов (проекта согласия на обработку, проекта обязательств, относительно хранения сведений, внесение изменений в должностные инструкции).
  6. Реализация мероприятий по обеспечению безопасности.
  7. Сбор конфиденциальной информации.

Инструкции

По обеспечению безопасности рабочих мест

  1. Первым делом оператор должен обеспечить изоляцию места, где хранятся ПДн. Согласно положениям профильного закона, ограничение доступа является обязательным условием для организации рабочих мест сотрудников, работающих с ПДн.
  2. Работники, имеющие доступ к ПДн, должны пройти инструктаж по работе с конфиденциальной ведомостями и выполнять функции в соответствии с должностной инструкцией. Кроме этого, сохранность ПДн должна стать личной ответственностью должностных лиц оператора.
  3. Рабочее место необходимо оборудовать так, чтобы свести к минимуму возможность просмотра конфиденциальной информации третьими лицами (это следует учитывать при планировке). Стеллажи с документами стоит размещать вдоль стен, желательно, чтобы сотрудник, ответственный за обработку, имел возможность видеть их как можно чаще.
  4. В месте обработки желательно установить сейф для хранения.
  5. Если обработкой занимается несколько человек, столы следует устанавливать на расстоянии от 1,2 метра, дабы исключить случайное прочтение ПДн, или воспользоваться искусственными перегородками, высотой 1,5-2 метра.
  6. Сотрудника желательно обеспечить специализированным инструментарием (лотками для корреспонденции) для эффективного использования свободного пространства на столе.

По хранению информации

При обработке важно придерживаться принципов и условий работы с такой информацией.

  1. Оператор должен обеспечить сохранность сведений, ограничить доступ третьих лиц, однако сделать возможным беспрепятственное ознакомление с ними ответственных лиц.
  2. Передавать данные следует по зашифрованным каналам (если речь идет об электронной системе).
  3. Персональные данные должны храниться отдельно и быть разгруппированными согласно целям сбора. Не допускается использование одного физического или электронного носителя для ПДн, которые были собраны в разное время для удовлетворения разных целей.
  4. Оператору необходимо вести учет данных, который включает в себя следующие параметры:

  • наименование;
  • тип;
  • емкость (количество страниц или мегабайт);
  • дата сбора;
  • ФИО ответственного лица;
  • физическое нахождение носителя.
  • Также требуется разработать «Регламент хранения информации», организовать пропускную систему к помещению и установить благоприятный для выбранного носителями микроклимат (температура, влажность), дающий возможность длительное время им пользоваться.
  • Как видите, при работе с персональными данными следует придерживаться принципов, указанных в ФЗ «О Персональных данных» и распоряжениях Роскомнадзора. Первым делом оператор должен зарегистрироваться у регулятора, затем разработать документацию по работе с ПДн и только затем начинать обработку, придерживаясь принципов и правил.

    Защита персональных данных: что надо знать бухгалтеру

    Вот уже больше года, как закон о защите персональных данных работает в полной мере, без каких-либо оговорок и исключений. А контролирующие органы, которые активно подключились к проверкам по соблюдению закона, не скупятся на штрафы. О том, как не допустить нарушений, за которые положены штрафы, мы погорим в настоящей статье.

    Читать еще:  Резюме официанта готовый образец 2021 для устройства на работу

    О проверяющих и размере штрафов

    Ответственность за нарушения в сфере охраны персональных данных законодатель отнесен к административной. Значит, санкции за подобные проступки надо искать в Кодексе об административных правонарушениях. Заглянув туда, мы обнаружим, что штрафы не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее руководителя, если в нарушении есть его вина.

    Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много (них мы подробно поговорим чуть ниже). Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

    Раз уж мы затронули вопрос проверок, то сразу скажем, что ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ). Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

    Статистическая справка

    По данным Роскомнадзора, всего с момента возложения на эту организацию полномочий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации нами (т.е. с ноября 2007 года) проведено 3307 проверок.

    Результатами этих проверок стали более чем 4500 предписаний об устранении выявленных нарушений, и 7591 протокол об административных правонарушениях.

    В 2011 году проведено 1743 проверки — то есть, более половины от общего числа за 4 года! При этом количество плановых и внеплановых (т.е. тех, которые проводятся по жалобам) проверок примерно равно 954 и 789 соответственно. При этом количество жалоб, поступающих от граждан и организаций, также постоянно растет — с 465 в 2009 году до 3240 на 26 декабря 2011 года.

    По результатам проверок в 2011 году в прокуратуру было передано около 900 материалов.

    Возросли в прошлом году и суммы взыскиваемых штрафов. Так, за период с 2007 по 2009 год к административной ответственности было привлечено всего 37 организаций и взыскано административных штрафов на общую сумму чуть менее 22 тысяч рублей. А на сегодняшний день эта сумма уже превысила 12,5 миллионов рублей. При этом средний размер штрафа не так уж и велик и составляет 3-5 тысяч рублей.

    Запасаемся бумагами

    Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

    Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных. Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

    Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные. Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников. Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

    Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

    Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

    В этом перечне должны быть:

    • заявление о приеме на работу;
    • анкета сотрудника;
    • личная карточка;
    • личное дело;
    • трудовой договор;
    • приказы;
    • трудовая книжка;
    • материалы аттестационных комиссий.

    Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т.п.), то эти отчеты тоже нужно включить в перечень.

    Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

    Здесь заметим, что подготовка такого перечня важна не только для соблюдения требований законодательства. Он позволит упорядочить работу с персональными данными внутри организации. Дело в том, что трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Поэтому анализ составленного перечня и исключение из него данных, не являющихся безусловно необходимыми в деятельности организации, позволит существенно удешевить систему защиты персональных данных.

    Следующий этап работы — подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников (образец приказа можно скачать здесь).

    Еще один документ, который нужно подготовить и утвердить — Положение о работе с персональными данными (примерный образец Положения см. здесь; на основании этого образца нужно составить свое Положение, дополнив его особенностями сбора, обработки и использования персональных данных работников вашей компании). В Положении о работе с персональными данными нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

    Каким должно быть содержание Положения

    Что же должно быть зафиксировано в Положении о персональных данных? На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

    Читать еще:  Что делать когда работодатель удерживает трудовую книжку советы эксперта

    Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (образец согласия можно скачать здесь). А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

    Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника. Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т.п.

    Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т.п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством. Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.

    А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т. п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

    Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).

    Обязательно ли уведомлять Роскомнадзор?

    Есть еще один немаловажный момент. Речь идет об уведомлении Роскомнадзора о том, что организация работает с персональными данными. Ситуация тут крайне неоднозначная.

    На первый взгляд, закон освобождает от подачи такого уведомления, если обрабатываются только персональные данные сотрудников. Однако на практике органы Роскомнадзора зачастую требуют предоставлять уведомление, даже если кроме работы с данными сотрудников организация никакой другой работы с персональными данными не ведет. При этом контрольное ведомство пользуется противоречивостью положений закона. Статья 22 Закона о персональных данных, которая освобождает от необходимости направлять уведомление в части персональных данных сотрудников организации, сформулирована так, что использование данных сотрудников в отношениях с банком при начислении им заработной платы, а также с государственными органами при предоставлении сведений о работниках формально под это исключение не подпадает. Поэтому во избежание лишних споров и штрафов советуем все же направить уведомление.

    Как организовать работу с персональными данными без ошибок в организации

    Как организовать защиту персональных данных сотрудников

    Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14). А именно:

    1. паспортные данные;
    2. сведения о трудовой деятельности и др.
    3. семейное положение;
    4. сведения об образовании;
    5. номер страхового свидетельства обязательного пенсионного страхования;

    Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

    Образец приказа о назначении ответственного за обработку персональных данных

    Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – физическому лицу (ст.

    Персональные данные: как работать по закону?

    То есть, к персональным данным относят: Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

    Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья. Что еще должен делать работодатель при обработке персональных данных?

    Шпаргалка для отельеров

    6 ошибок в работе с персональными данными клиентов и как их избежать

    — Зачем вы присылаете мне весь этот бред?

    — Я никакого согласия не давала, я знаю законы, я буду жаловаться на вас в Роскомнадзор! — Искрила Ольга. Ирина, администратор отеля на другом конце провода, явно с таким еще не сталкивалась, поэтому ей потребовалось пару секунд, чтобы выдавить из себя: — Скажите, как я могу к Вам обращаться? — На «Вы» и шепотом! — Не унималась клиентка.

    Работа с персональными данными

    1 ст. 18.1 Закона о персональных данных. К ним относятся: 1. Назначение ответственного за организацию обработки персональных данных. 3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст.

    19 Закона о персональных данных.

    В комиссии сослались на распоряжение, согласно которому ответственным был назначен ее секретарь.

    Организация работы с персональными данными работников

    Защита персональных данных сотрудников организации В соответствии со ст.3 Федерального закона №152-Ф3 (2007г.) «О защите персональных данных», к персональным данным относятся: — фамилия, имя, отчество; — год, месяц, дата и место рождения; — семейное, социальное, имущественное положение; ДОКУМЕНТЫ, УСТАНАВЛИВАЮЩИЕ ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ Поскольку ТК РФ говорит о документах, устанавливающих порядок обработки персональных данных во множественном числе, то таких документов должно быть как минимум два: — Положение о защите персональных данных работников (утверждается и вводится в действие приказом руководителя организации) — Обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным (сотрудниками отдела кадров, бухгалтерии, службы охраны и др.)

    Как правильно организовать работу с персональными данными?

    Как правильно организовать работу с персональными данными работников организации? Все перечисленные действия требуют знания определенной информации о работнике, а закон называет это «обработкой персональных данных».

    Персональные данные и их обработка Правовая база к вопросу о персональных данных включает в себя следующие документы:

    1. Трудовой кодекс РФ;
    2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных»).

    3 Закона «О персональных данных», обработка персональных данных включает в себя: Организация работы с персональными данными в компании предполагает следующие действия: В дальнейшем деятельность по обработке персональных данных будет строиться по принятому регламенту.

    Читать еще:  Режим труда и отдыха оптимальные режимы труда и отдыха

    Организация работы с персональными данными

    1. Положение о работе с персональными данными.
    2. Список лиц, допущенных к работе с персональными данными.
    3. Приказ о назначении ответственного за работу с персональными данными.
    4. Законодательно-правовые акты, регламентирующие работу с персональными данными.

    Одна из первостепенных задач сегодняшнего дня в каждой организации – регламентация работы с персональными данными.

    К сожалению, такая работа проведена сегодня еще не во всех организациях.

    Дата 1 июля 2011 г. и есть изменение, внесенное в Закон 23.12.2010.

    Прежняя дата – 01.01.2011 − оказалась невыполнима, и срок продлен еще на полгода. В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников, в учебных заведениях еще и учащихся, в поликлиниках и больницах – пациентов, в нотариальных конторах − клиентов и т.

    5 ошибок при работе с персональными данными, за которые грозят жесткие штрафы

    1. Почему опасно игнорировать отказ клиента от получения рекламных сообщений
    2. Как работать с персональными данными, чтобы избежать штрафов
    3. В каких документах с работником должна стоять отметка о согласии на обработку персональных данных
    4. Зачем размещать на сайте политику конфиденциальности

    Ваша компания ведет работу с персональными данными: нанимает сотрудников, собирает информацию о клиентах, а на сайте есть форма обратной связи?

    Копии документов сотрудников и защита персональных данных

    В организации ведутся личные дела сотрудников. При приеме на работу специалист по кадрам снимает копии с документов и вкладывает их в личное дело. П равомерно ли это с учетом закона о защите персональных данных? Рассмотрим, как нужно поступать с документами и личной информацией сотрудников, чтобы не получить штраф от Роскомнадзора.

    О ведении личных дел

    Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

    Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

    Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

    Защита личных сведений

    О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс. рублей. Должностное лицо получить штраф в размере 5-10 тыс. рублей, а гражданин — в сумме 1-3 тыс. рублей.

    Как же правильно поступать с документами сотрудника? Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу. Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии.

    Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них в его личную карточку Т-2.

    На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом. Собирать личную информацию, которая соответствует законной цели. Причем цель должна быть вполне конкретной. Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

    Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ.

    Если работник дал согласие

    Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации. Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных.

    Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

    В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

    1. Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.
    2. Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
    3. Обработке подлежат только те сведения, которые соответствуют указанным целям.
    4. Содержание и объем обрабатываемых данных должен соответствовать цели обработки.

    О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

    Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей.

    Например, личные сведения могут быть собраны для размещения на сайте работодателя (в разделе «Наши сотрудники») или для оформления полиса добровольного медицинского страхования. Пример избыточной цели — хранение личных данных на случай поступления запроса из государственных органов.

    О копии паспорта

    В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных. В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

    Подведем итоги

    Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

    • было законное основание (правовой акт или внутренний документ);
    • была определенная, законная и адекватная цель обработки информации;
    • было письменное согласие работника на обработку его персональных данных;
    • в согласии была указана цель обработки.

    Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector