Защита персональных данных работников

Содержание

Хранение личных данных – законодательное регулирование

Отношения, связанные с обработкой персональных данных, регулируются:

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Получение персональных данных

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Право работника на защиту персональных данных



В статье рассматриваются вопросы, посвящённые актуальной теме — права работника на защиту своих персональных данных. В частности, раскрывается: права работников в целях обеспечения защиты персональных данных, обеспечение внутренней и внешней защиты персональных данных сотрудника работодателем, информационная обработка персональных данных.

Ключевые слова: защита персональных данных; меры по защите персональных данных сотрудника, меры защиты персональных данных сотрудника.

Каждый работник при устройстве на работу заполняя анкету соискателя сообщает массу информации о себе. Получается изначально работодатель владеет большим объемом личной информации о работнике.

Статья 3 Федерального законам от 27 июля 2006 г. № 152-ФЗ (ред. от 31.12.2017) «О персональных данных» говорит нам о том, что персональными данными является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). К ним относится: фамилия, имя, отчество, пол, возраст, образование, квалификация, место жительства, семейное положение, наличие детей и т. д.

В процессе трудовой деятельности работодатель хранит и копит у себя документы содержащие персональные данные работника, далее если мы будем исходить из определения персональных данных такие сведения могут содержаться в таких документах как например: анкета, копии документов, удостоверяющих личность, трудовая книжка, документы воинского учета личная карточка и т. д.

Согласно п.1 ст.6 Федерального законам от 27 июля 2006 г. № 152-ФЗ (ред. от 31.12.2017) «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных.

Перечень сведений, которые должны быть указаны в согласии работника на обработку персональных данных перечислены в ч.4 ст. ранее упомянутого закона «О персональных данных». Это фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных), перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, подпись субъекта персональных данных, срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом .

Но не во всех случаях необходимо согласие работника на передачу персональных данных. Например, необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях: договор на выпуск банковской карты заключался напрямую с работником и в тексте, которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника, наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании, соответствующая форма и система оплаты труда прописана в коллективном договоре .

Согласно п.7 ст.86 Трудового кодекса Российской Федерации защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами .

Согласно ст.87 Трудового кодекса Российской Федерации порядок хранения и использования персональных данных работников устанавливается работодателем из чего следует, что работодатель обязан создать соответствующий локальный нормативный акт, это положение о персональных данных регулирующий хранение и использование персональных данных, а также обеспечивающих защиту от неправомерного их использования и утраты. Со своими правами работники должны быть ознакомлены под роспись .

Положение о персональных данных издается и утверждается работодателем путем утверждения приказа.

Для обеспечения внешней защиты персональных данных работника работодателю необходимо принять следующие меры:

‒ установить пропускной режим и особый порядок, приема, учета и контроля деятельности посетителей;

‒ установить особый порядок пропусков и выдачи удостоверений;

‒ использовать технические средства охраны;

‒ использовать программно-технический комплекс защиты информации на электронных носителях.

К мерам по внутренней защите персональных данных относятся следующие действия:

‒ ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным;

‒ назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

‒ ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

‒ организовать порядок уничтожения информации;

‒ утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

‒ выявление и устранение нарушений требований по защите персональных данных;

‒ проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать данные, которые стали им известны при выполнении ими своих трудовых обязанностей.

Согласно п.43 Постановления Пленума Верховного суда Российской Федерации от 17 марта 2004 г. в случае оспаривания работником увольнения по подпункту «в» пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне, либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения. Из чего следует, что работодателю необходимо оформить с работниками, которые имеют доступ к персональным данным сотрудников своей организации обязательство о неразглашении персональных данных.

В настоящее время многие организации используют информационные системы при обработке персональных данных сотрудника. При электронном способе обработки таких данных работодатель обязан обеспечить защиту в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» .

Во избежание конфликтных ситуаций следует соблюдать нормы, регулирующие сферу персональных данных.

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Литература:

  1. Трудовой кодекс Российской Федерации от 30.12.2001г. № 197-ФЗ (ред. от 29.07.2017г.) (с изм. и доп., вступ. в силу с 01.10.2017г. Режим доступа — http://www.consultant.ru/document/cons_doc_LAW 34683;
  2. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных» . Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801;
  3. Постановление Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» . Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_137356;
  4. Постановление Пленума Верховного суда Российской Федерации от 17.03.2004 № 2 «О применении судами Российской Федерации трудового кодекса Российской Федерации» .Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_47257;
  5. Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» . Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_139574;

Обработка персональных данных: пошаговая инструкция для компаний

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

В закладки Аудио Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору. Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» — всегда =)

Почему:

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Шаг 1. Инвентаризация

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Требования к защите персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.

За основу разработки модели угроз можно взять Базовую модель угроз ФСТЭК России.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

Технические меры

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.

Организационные меры

  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

Согласие на обработку.

  1. Письменная форма согласия. Требования к пунктам согласия отражены . Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях. Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — ), при трансграничной передаче.
  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется. Подробнее о таких случаях — .
  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно .

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены . Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1. Уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Изменения в уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 25. Заключительные положения.

ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

3. Приказ Об организации обработки персональных данных.
4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

5. Согласие субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

7 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18. Обязанности оператора при сборе персональных данных.

ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

8. Документы, определяющие политику оператора в отношении обработки персональных данных.

Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

9. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10. Документы по организации приема и обработке обращений и запросов субъектов персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

11. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

12. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.

Основание:

Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

13. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Основание:

Приказ ФСТЭК от 18 февраля 2013 года № 21.

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

14. Документы о классификации информационных систем.

Основание:

Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.

15. Типовые формы документов.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.

16. Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.

17. Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

18. Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.

Основание:

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

19. Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20. Документы, устанавливающие порядок обработки персональных данных работников.

Основание:

ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты:

п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статья 87. Хранение и использование персональных данных работников;

Статья 88. Передача персональных данных работников.

21. Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.

Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

ВАЖНО! Для справки рекомендуется ознакомиться с документом:

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

п/п

Наименование документа № документа, дата
1. Акт классификации и определения уровня защищенности ИСПДн «Бухгалтерия».
2. Акт определения уровня защищенности ИСПДн «________».
3. Акт определения уровня защищенности ИСПДн «……».
4. Акт о выделении к уничтожению документов, неподлежащих хранению.
5. Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.
6. Акты уничтожения персональных данных.
7. Описание информационной системы персональных данных «Сотрудники».
8. Описание информационной системы персональных данных «Клиенты».
9. Описание информационной системы персональных данных «…..».
10. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники».
11. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты».
12. Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..».
13. Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.
14. Инструкция пользователя информационной системы персональных данных.
15. Инструкция об организации антивирусной защиты.
16. Инструкция администратора безопасности информационной системы персональных данных.
17. Инструкция администратора информационной системы персональных данных.
18. Инструкция пользователя при обработке персональных данных без средств автоматизации.
19. Инструкция по эксплуатации машинных носителей информации.
20. План внутренних проверок режима защиты персональных данных.
21. Политика обработки Персональных данных образец
22. Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
23. Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….».
24. Положение об обеспечении безопасности персональных данных.
25. Положение об обработке персональных данных в ООО «….».
26. Положение об ответственном за обработку персональных данных в ООО «….».
27. Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
28. Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии.
29. Приказ о начале обработке персональных данных.
30. Приказ об ответственных и комиссии по информационной безопасности.
31. Приказ о назначении сотрудников, имеющих доступ в персональным данным.

— список сотрудников.

32. Приказ утверждающий перечень мест хранения материальных носителей персональных данных.

— перечень мест хранения ИСПДн.

33. Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.
34. Приказ о контролируемой зоне:

— Схема границ.

— Список лиц, имеющих право вскрывать помещение.

— Список лиц, имеющих находиться в помещение.

35. Перечень персональных данных.
36. Перечень информационных систем персональных данных.
37. Согласие сотрудника на обработку его персональных данных.
38. Согласие клиента на обработку его персональных данных.
39. Согласие …. на обработку его персональных данных.
40. Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.
41. Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
42. Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
43. Журнал учета лицевых счетов пользователей средств криптографической защиты информации.
44. Журнал учета и выдачи машинных носителей персональных данных.
45. Журнал учета проверок, проводимых органами государственного контроля (надзора).
46. Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.
47. Журнал регистрации входящих конфиденциальных документов.
48. Журнал регистрации исходящих конфиденциальных документов
49. Журнал регистрации и выдачи печатей опечатывающих устройств.
50. Журнал инвентарного учета документов ограниченного распространения.
51. Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).
52. Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.
53. Журнал учета хранилищ (сейфов).
54. Журнал учета ключевой информации.
55. Журнал учета движения материальных носителей персональных данных.
56. Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.
57. Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

НЕКОТОРЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА, ПЕРСПЕКТИВЫ И ПУТИ ИХ РЕШЕНИЯ

Защита чести, достоинства и деловой репутации имеет свою специфику. В юридической научной литературе под честью понимают положительную общественную оценку социальных и духовных качеств личности. Достоинство предполагает положительную субъективную самооценку человека, осознание им своего положения в обществе. Деловая репутация – это оценка деловых качеств лица в общественном сознании. Цель правоотношений по защите чести достоинства и деловой репутации работника должна быть обеспечена и в охране его персональных данных, которые он предоставляет при приеме на работу.

Персональные данные относятся к конфиденциальной информации. Именно с них начинается Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 № 188: «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях» .

Работе с персональными данными отведена гл. 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника» , в соответствии со статьёй 85 данного нормативно-правового акта дается определение персональных данных работника как «…информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника». По нашему мнению в данном определении представляется важным обратить внимание на слова «необходимая работодателю», которые означают, что информация о работнике может требоваться в различном объеме в зависимости от специфики организации.

Из статьи 90 Трудового Кодекса Российской Федерации следует, что лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами .

Как мы видим, законодательная база урегулирования правоотношений связанных с защитой персональных данных работников в нормативно-правовом плане достаточно обусловлена, но должного их обеспечения не происходит. Не редко получаемая информация работодателем становится известной заинтересованным лицам, зачастую ответственные за сохранение данных в тайне служащие пренебрегают своими должностными обязанностями вследствие чего, и происходит распространение данных.

Возможность представить свои персональные данные третьим лицам состоит в том, что отдельные сведения представляются гражданином по своей воле как контрагентом при заключении гражданских договоров. Так, по договору об оказании услуг доступа в сеть Интернет информацию о пользователе получает провайдер. При заключении договора об оказании услуг местной телефонной связи гражданин в тексте договора с оператором связи отражает дату и место рождения, место жительства, реквизиты паспорта и др. Лица и организации, получающие информацию о персональных данных граждан, должны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерных действий.

По нашему мнению, учитывая указанные выше положения необходимо обратить особенное внимание на обстоятельство о распространении порочащих сведениях в средствах массовой информации, содержащих достоверную информацию, которая как предполагается, дается гражданином при заключении с работодателем гражданско-правового договора при поступлении на работу.

С решением этого вопроса тесно связан другой – наступает ли ответственность за распространение правдивых порочащих сведений? Например, распространение сообщения о судимости лица, у которого она была погашена или снята. По общему правилу распространение подобных сведений не влечет наступления ответственности, поскольку отсутствует признак недостоверности, ложности. Для решения вопроса о защите своих прав важно знать, от кого исходит такая правдивая, но порочащая информация и каким образом она распространена. Если правдивая, но порочащая информация распространена через средства массовой информации, у лица, в отношении которого она распространена, должны быть определенные способы правовой защиты.

По общему правилу, если сведения, порочащие честь, достоинство или деловую репутацию гражданина, распространены в СМИ, они должны быть опровергнуты в том же СМИ (способ исполнения обязательства). Если указанные сведения содержатся в документе, исходящем от организации, такой документ подлежит замене или отзыву (ч. 2 ст. 152 ГК). То есть способ опровержения зависит от способа распространения сведений. Согласно ст. 44 Закона о СМИ в опровержении должно быть указано, какие сведения не соответствуют действительности, когда и как они были распространены данным СМИ. Опровержение в печатном издании должно быть выполнено тем же шрифтом, под заголовком “опровержение” на том же листе полосы, что и опровергаемое событие. По радио и телевидению оно должно быть передано в то же время суток и в той же передаче, что и опровергаемое сообщение .

Распространение информации о персональных данных работника, также регулируется и нормами административного законодательства. Согласно статьи 13.11. Кодекса Российской Федерации об административных правонарушениях «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» установлена административная ответственность, а именно. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5 тыс. до 10 тыс. руб .

На наш взгляд указанные виды ответственности лица виновного в распространении прочащей информации работника являются мягкими. Мы считаем, что необходимо увеличить указанные размеры штрафов для каждой категории виновных в 10 раз, что будет являться более сдерживающим и препятствующим совершению данного рода правонарушений фактором. Также, на наш взгляд, необходимо поместить в данную статью определенные положения, касающиеся распространения правдивых, но порочащих честь достоинство и деловую репутацию гражданина данных опубликованных в средствах массовой информации, и установить соответствующий размер компенсации причиненного морального вреда.

На наш взгляд необходимо на уровне учредительной документации предприятия провести ряд мероприятий для организации работы с документами, содержащими персональные данные.

Во-первых, если организация крупная и приходится обрабатывать большое количество данных, следует приказом руководителя назначить лицо или подразделение, ответственные за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями.

Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Следовательно, надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых.

В-третьих – подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.

Также чтобы предотвратить утечку информации о работнике при увольнении его с работы необходимо удостовериться в блокировании своих персональных данных и их уничтожении. Уничтожение персональных данных может быть в форме уничтожения материальных носителей персональных данных или в форме стирания сведений в информационной системе. Представляется, что для гарантии этих положений необходимо внести в Федеральный закон «О персональных данных» дополнения о том, каковы основания для уничтожения информации и какова судьба информации при ликвидации и реорганизации органа, хранящего информацию.

Как видно из проведенного анализа проблем регулирования персональных данных работника и работе с его персональными данными – это достаточно сложный процесс, который требует детального нормативно-правового регулирования, и при составлении документации которого необходимо предусмотреть все стороны и нюансы работы с данной информацией.

Поделиться в соц. сетях

Библиографический список

  1. Кузнецова, Т.В. Организация работы с персональными данными / Т.В. Кузнецова // Трудовое право. – 2011. – № 5. – С. 75 – 80.
  2. Трудовой кодекс Российской Федерации от 30.12.2001, в ред. от 19.07.2011 № 197-ФЗ // Парламентская газета – 2002. – № 2 – 5.
  3. Малеина, М.Н. Право на тайну и неприкосновенность персональных данных / М.Н. Малеина // Журнал российского права. – 2010. – № 11. – С. 19 – 24.
  4. Кодекс Российской Федерации об административных правонарушениях, в ред. от 04.11.2014 № 195-ФЗ // Российская газета. – 2001 г. – № 256.
  5. О персональных данных: Федеральный закон от 27 июля 2006 в ред. от 04 июня 2014 № 152-ФЗ // Российская газета. – 2006 г. – № 165.

Количество просмотров публикации: Please wait

Все статьи автора «Меньшикова Анастасия Викторовна»

Проблемы защиты персональных данных в России

Размещено на http://www.allbest.ru/

ПРОБЛЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИИ

Галимова Айгуль Шарифовна1, Иванова Екатерина Евгеньевна2

1Башкирский государственный университет, кандидат экономических наук, доцент кафедры «Социология труда и экономика предпринимательства

2Башкирский государственный университет, студентка 3 курса Института экономики, финансов и бизнеса

Аннотация

Данная статья посвящена описанию проблем защиты персональных данных в Российской Федерации. Рассматриваются существующие проблемы защиты персональных данных и предлагаются пути их решения.

Ключевые слова: персональные данные, предотвращение утечки информации, российские предприятия

PROBLEMS OF PROTECTION OF PERSONAL DATA IN RUSSIA

Galimova Aigul Sharifovna1, Ivanova Ekaterina Evgenevna2

2Bashkir State University, Institute of Economics, Finance and Business, 3rd year student

Keywords: personal data, prevention of information leakage, Russian enterprises

Рубрика: Право

Одной из центральных проблем в современной России выступает проблема защиты персональной информации работников организаций различных форм собственности.

Как известно, персональные данные работника — это конфиденциальная информация. В Трудовом кодексе Российской Федерации глава «Защита персональных данных работника» посвящена непосредственно процессу работы с персональной информацией. В указанном нормативно-правовом акте в статье 85 персональные данные работника имеют следующее определение: персональные данные трактуются в виде информации, в которой испытывает необходимость работодатель, выстраивая трудовые отношения с конкретным определенным работником. Мы считаем, что ключевым моментом при таком формулировании выступает «необходимость для работодателя». Такая трактовка предполагает необходимость самого различного объема информации. Объем требуемой информации зависит от специфики деятельности предприятия.

Статья 90 ТК РФ для лиц, виновных в нарушении существующих норм, которые регулируют процесс получения, защиты и обработки персональных данных сотрудника организации, предусматривает привлечение к материальной и дисциплинарной ответственности в процедуре и порядке, который устанавливают ТК РФ и иные федеральные законы. Такие лица, кроме того, могут понести гражданско-правовую, административную и уголовную ответственность, которая установлена федеральным законодательством.

Правоотношения, связанные с процессом защиты персональных данных работников, обусловлены высокой степенью точности. Тем не менее, такие правоотношения должным образом не обеспечиваются. Довольно часто происходят случаи, когда информацией о работнике завладевают иные заинтересованные лица. Служащие, ответственные за сохранение тайны данных, могут пренебрегать своими обязанностями по должности, из-за чего и происходит распространение данных с персональной информацией.

На сегодняшний день широко распространяются автоматизированные системы хранения и обработки информации. В первую очередь, распространены компьютерные базы данных, к которым возможен доступ через технические каналы, обеспечивающие связь. Вышесказанное обосновывает необходимость обеспечения надежной защиты имеющихся ресурсов и информационных процессов, упорядочивания общественных отношений в сфере взаимодействия работодателя и работника. Охват проблем при этом не должен быть фрагментарным. Должен иметь место комплексный подход, когда технические составляющие вопроса не находятся в центре внимания.

Отметим, что процесс распространения персональной информации о работниках регулируют и нормы административного законодательства. Кодекс РФ об административных правонарушениях содержит статью 13.11, согласно которой за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) устанавливается ответственность в административном порядке.

Следует отметить, что Устав, либо другая учредительная документация предприятия, могут содержать сформулированные мероприятия, которые позволят эффективно проводить организацию работы с документами, содержащими персональные данные работников.

Крупные организации должны располагать структурными подразделениями либо лицами, в полномочия которых должна быть включена ответственность за процессы по взаимодействию с персональной информации о сотрудниках и ее защите. Руководителем, в таком случае, издается соответствующий приказ. Необходимость такого подхода диктуется фактом того, что в крупных предприятиях, как правило, обрабатывается большой объем данных.

Следующий шаг — уточнение перечня тех персональных данных, которые необходимы на данном конкретном предприятии. Чем более высока степень весомости обработки, тем более трудоемок процесс, когда защищаются персональные данные сотрудников того или иного предприятия. Приводя пример, отметим, что персональные данные, содержащие информацию касательно здоровья или личных жизненных предпочтений работника должны подлежать более усиленному варианту защиты нежели персональные данные, которые идентифицируют сотрудника как личность. То же самое можно сказать о данных, где отражена информация о взглядах сотрудника относительно религии и политики, его национальности и т.п. Сотрудники предприятия, отвечающие за процесс защиты данных с персональной информацией о работниках, должны отсортировать персональные данные, которые не выступают критически нужными для предприятия, и сделать их максимально исключенными из той информации, которая собирается и обрабатывается.

Финальный шаг — произвести подготовку в табличной форме списка лиц, которые были допущены к процессу обработки персональных данных работников. Также, предотвращая утечку информации о сотрудниках предприятий в процессе увольнения их с той или иной должности нужно, чтобы каждый из них был удостоверен в том, что его персональные данные заблокированы и уничтожены.

Проведенный нами анализ показал, что проблемы, существующие в процессе защиты тех или иных персональных данных сотрудников предприятий в России, требуют детального регулирования в нормативно-правовом ключе с учетом каждого нюанса в процессе взаимодействия с указанной информацией.

Игнорирование закона — это правонарушение с точки зрения юриста и риск для бизнеса с точки зрения организации. Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. По разным оценкам до 8 млн. операторов попадают под действие закона «О персональных данных». Имеются судебные прецеденты по рассмотрению дел и вынесению решений в пользу истцов, требовавших соблюдений операторами необходимых мер по защите персональных данных. С учетом того, что одной из мер воздействия на нарушителей закона «О персональных данных» является отзыв лицензии на основной вид деятельности, можно судить о важности его соблюдения.

персональный собственность конфиденциальный защита

Библиографический список

1. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 №195-ФЗ (с изм. и доп.) // Российская газета. — №256 от 31 декабря 2001г.

2. Трудовой кодекс Российской Федерации от 30 декабря 2001г. №197-ФЗ (с изм. и доп.) // Собрание законодательства РФ. — №1 от 07 января 2002г.

3. Гаврюшина Н.И. Проблемы правовой защиты персональных данных // Актуальные вопросы современного российского права: межвузовский сборник научных статей. — Пенза: Изд-во ПГУ, 2010,. С. 158-161.

4. Лебедева М.М. Актуальные вопросы защиты персональных данных // Право: теория и практика. — М.: Тезарус, 2014,.С. 18-20

5. Хачатурян Ю. Право работника на защиту персональных данных: недостатки механизма реализации // Трудовое право. — М.: Интел-Синтез,. С. 77-84.

Размещено на Allbest.ru

Защита персональных данных работника

В соответствии с К РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23). Не допускаются сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24). На соблюдение этих двух статей К РФ направлены все нормы гл. 14 ТК. Они все обязательны для работодателя.

Персональные данные работника — информация, необходи­мая работодателю в связи с трудовыми отношениями и касаю­щаяся конкретного работника (ст. 85 ТК).

Ст. 86 «В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных раб-ка обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника м. осуществляться
исключительно в целях обеспечения соблюдения законов и иных НПА, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохран­ности имущества;

2) при определении объема и содержания обрабатываемых персон-х данных работника работодатель должен руководствоваться К РФ, ТК и иными ФЗ;

3) все персон-ые данные работника следует получать у него самого. Если персон-ые данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него долж­но быть получено письменное согласие.

4) работодатель не имеет права получать и обрабатывать персон-ые данные работника о его политических, религиозных и иных убеждениях и ча­стной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персон-ые данные работника о его членстве в общественных объед-ях или его профсоюзной деятельности, за исключением случаев, предусмотренных ФЗ;

6) защита персон-х данных работника от неправомерного их ис­пользования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ФЗ;

7) работники и их представители д. б. ознакомлены под рас­писку с документами организации, устанавливающими порядок обработки персон-х данных работников, а также об их правах и обязанностях в этой области;

Ст 88. «При передаче персон-х данных работника работодатель д. со­блюдать след. требования:

не сообщать персональные данные работника третьей стороне без пись­менного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях установленных ФЗ;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные м. б. использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

Ст.89. «В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, вкл. Право на получении копий любой записи, содержащей персональные данные работника;

определение своих представителей для защиты свои персональных данных;

требование об исключении или исправлении неверных или неполных пер­сональных данных, а также данных, обработанных с нарушением требований ТК;

обжалование в суд любых неправомерных действий или бездействия ра­ботодателя при обработке и защите его персональных данных.

Ст 90. «Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, админи­стративную, гражданско-правовую или уголовную ответственность в соот­ветствии с ФЗ»

Лекция 12. Защита персональных данных работника

Согласно ст. 23 Конституции РФ каждый имеет право на не­прикосновенность частной жизни, личную, семейную тайну, за­щиту своей чести и доброго имени. Реализация данного права обеспечивается положением ст. 24 Конституции, устанавливаю­щим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускают­ся. Всеобщая декларация прав человека (ст. 12) провозглашает, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательст­вам на неприкосновенность его жилища, тайну его корреспон­денции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких по­сягательств. Аналогичное правило содержится в Международ­ном пакте о гражданских и политических правах (ст. 17).

Нормы, регламентирующие порядок защиты персональных данных работника, впервые появились в отечественном трудовом законодательстве только с принятием Трудового кодекса РФ. Они содержатся в гл. 14 ТК РФ, входящей в раздел «Трудовой до­говор». Включение в Кодекс понятия «персональные данные ра­ботника» обусловлено необходимостью упорядочения отноше­ний по получению и использованию работодателем информации о работнике личного характера, формирования четких правил защиты данной информации от ее неправомерного использования.

1. Понятие персональных данных работника, общие требования при обработке персональных данных и гарантии их защиты

Согласно ст. 85 ТК РФ под персональными данными работни­ка понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работ­ника.

Указанное определение основано на положениях Конвен­ции Совета Европы «О защите физических лиц при автомати­зированной обработке персональных данных» от 28 января 1981 г.1, в ст. 2 которой под «персональными данными» пони­мается информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»2 (далее — Закон о персональных данных) определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). При этом под информацией, согласно Федеральному за­кону от 27 июля 2006 г. № 149-ФЗ «Об информации, информаци­онных технологиях и защите информации»1, понимаются любые сведения (сообщения, данные) независимо от формы их пред­ставления.

Персональные данные работников могут быть двух видов: данные, представляющие собой факты, не подлежащие субъективной оценке (например, специальность работника, приобретенная им по окончании учебного заведения); данные оценочного характера, которые могут, в частности, содержаться в характеристике работника, заключении аттестационной комиссии и т. п.

Все сведения, составляющие информацию о работнике, по срокам их получения и нахождения у работодателя могут быть подразделены на три группы:

а) сведения, представляемые работником при приеме на работу;

б) сведения, создаваемые и получаемые работодателем в период трудовой деятельности работника;

в) сведения о работнике, хранящиеся у работодателя после прекращения с ним трудовых отношений.

Под обработкой персональных данных Конвенция от 28 янва­ря 1981 г. понимает накопление данных, проведение логиче­ских и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Статья 85 ТК РФ в принципе аналогично определяет понятие обработки персональных данных работника — как получение, хранение, комбинирование, передача или любое другое исполь­зование персональных данных работника’.

Как видно, законодатель определил четыре формы обработ­ки персональных данных в сфере трудовых отношений — полу­чение, хранение, использование и передача.

Персональные данные работников, т. е. та информация, ко­торой обладает работодатель, как в условиях ее ручной обра­ботки, так и в случае использования автоматизированных ин­формационных систем может стать в определенной мере от­крытой и привести к ущемлению их интересов и прав, причинить моральный вред и материальный ущерб. В связи с этим в ТК РФ закрепляются принципы, лежащие в основе об­работки персональных данных работника, положения о поряд­ке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об от­ветственности лиц за невыполнение требований норм, регули­рующих обработку и защиту персональных данных работника.

В соответствии со ст. 7 Закона о персональных данных и п. 1 Перечня сведений конфиденциального характера, утвер­жденного Указом Президента РФ от 6 марта 1997 г. № 188′, персональные данные работника как сведения о фактах, собы­тиях и обстоятельствах частной жизни гражданина, позволяю­щие идентифицировать его личность, относятся к числу сведе­ний конфиденциального характера. Такой правовой режим пер­сональных данных работника предполагает особый порядок работы с указанными данными и особый режим их охраны.

Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» предъ­являет достаточно жесткие требования к работе с персональны­ми данными. Персональные данные должны: быть получены и обработаны добросовестным и законным образом; накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; быть адекватными, относящимися к делу и не быть избы­точными применительно к целям, для которых они накаплива­ются; быть точными и при необходимости обновляться; храниться в такой форме, которая позволяет идентифициро­вать субъектов данных не дольше, чем этого требует цель, для которой они накапливаются.

Основные принципы обработки персональных данных в Россий­ской Федерации соответствуют требованиям указанной Кон­венции и содержатся в ст. 5 Закона о персональных данных. К ним относятся: законность целей и способов обработки персональных данных; соответствие целей обработки данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; соответствие объема и характера обрабатываемых персональных данных и способов их обработки целям обработки персональных данных; достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Кроме того, установлено, что обработка персональных дан­ных может осуществляться оператором только с согласия субъ­ектов персональных данных, за исключением случаев, преду­смотренных ч. 2 ст. 6 указанного Закона.

В ст. 86 ТК РФ содержатся следующие требования к россий­ским работодателям и их представителям, направленные на обеспечение прав и свобод человека и гражданина при обра­ботке персональных данных работника.

1. Обработка персональных данных работника может осуще­ствляться исключительно в целях: обеспечения соблюдения законов и иных нормативных пра­вовых актов; содействия работникам в трудоустройстве, обучении и про­движении по службе; обеспечения личной безопасности работников; под оператором понимается государственный орган, муници­пальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также опре­деляющее цели и содержание обработки персональных данных. Следо­вательно, любой работодатель является оператором персональных дан­ных своих работников контроля количества и качества выполняемой работы; обеспечения сохранности имущества.

2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руковод­ствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Так, согласно ст. 65 ТК РФ при приеме на работу работодатель получает о работнике следующую информацию: о трудовом стаже, подтверждаемом трудовой книжкой; о регистрации работника в системе обязательного пенсион­ного страхования, подтверждаемую соответствующим страхо­вым свидетельством; о состоянии работника на воинском учете, подтверждаемую документами воинскою учета; об образовании, квалификации работника, наличии у него специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); о возрасте работника, дате и месте его рождения, месте регистрации, подтверждаемую паспортом или иным документом, удостоверяющим личность; о наличии или отсутствии у работника семейных обязанно­стей, что подтверждается паспортом.

Перечень стандартизированных персональных данных работ­ника, получаемых от него работодателем, можно также опреде­лить на основании постановления Госкомстата РФ от 5 января 2004 г. № 1, которым, в частности, утверждена форма личной карточки работника. К сведениям, содержащимся в карточке, кроме перечисленных выше относятся данные о знании ино­странного языка, иных ближайших родственниках (кроме супру­га и детей), фактическом адресе места жительства, номере до­машнего телефона. Но поскольку получение указанной инфор­мации не предусмотрено федеральным законом, отказ работника от ее предоставления не может повлечь для него неблагоприят­ных последствий.

В силу своих обязанностей налогового агента работника (ст. 24 Налогового кодекса РФ) работодатель также должен иметь информацию об идентификационном номере налогопла­тельщика — физического лица (если такой номер имеется), а также информацию, на основании которой производятся нало­говые вычеты (инициативу в ее предоставлении, как правило, проявляет сам работник).

В отдельных случаях, установленных федеральными закона­ми, работодатель может получать информацию о состоянии здоровья работника путем проведения медицинского освиде­тельствования при заключении трудового договора, периодиче­ских и внеочередных медицинских осмотров (ст. 213 ТК РФ), и информацию о дактилоскопической регистрации работников.

3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предпо­лагаемых источниках и способах получения персональных дан­ных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное со­гласие на их получение.

Извещение работника о предполагаемом получении его пер­сональных данных у иного лица обычно осуществляется в фор­ме соответствующего уведомления, предъявляемого работнику под расписку. При отказе работника составляется акт.

4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Информация о религиозных убеждениях работника может иметь крайне существенное значение при заключении работни­ком трудового договора с религиозной организацией, если его трудовая функция предполагает участие в совершении религи­озных обрядов.

Данные о частной жизни предоставляются непосредственно работником в целях реализации его трудовых прав и интересов. К информации о частной жизни относятся прежде всего дан­ные о семейных обязанностях работника, наличии или отсутст­вии детей, их возрасте.

5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Так, Трудовой кодекс обязывает работодателя перед уволь­нением работника, являющегося членом профсоюза, в опреде­ленных случаях испросить мотивированное мнение органа пер­вичной профсоюзной организации (ст. 82). Соответственно, Кодекс фактически обязывает работодателя собирать и обраба­тывать информацию о членстве работника в конкретном проф­союзе и о его профсоюзной деятельности, а профессиональный союз — предоставлять такую информацию по запросу работо­дателя.

6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Указанное правило введено в связи с тем, что базы данных, хранящиеся в электронном виде, в большей мере, чем инфор­мация, содержащаяся на бумажном носителе, доступны для не­правомерного внедрения и изменения или для корректировки, осуществляемой в результате сбоя в компьютерной программе.

7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ или иными федеральными законами.

Защита персональных данных, как и защита любой инфор­мации, согласно ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации», пред­ставляет собой принятие правовых, организационных и техни­ческих мер, направленных на: обеспечение защиты информации от неправомерного досту­па, уничтожения, модифицирования, блокирования, копирова­ния, предоставления, распространения, а также иных неправо­мерных действий; соблюдение конфиденциальности информации ограничен­ного доступа; предотвращение уфоз безопасности личности, общества, го­сударства; реализацию права на доступ к информации.

Защите подлежат любые персональные данные работника, неправомерное обращение с которыми может причинить ущерб как ему (собственнику информации), работодателю (владельцу информации), пользователю информацией, так и иному лицу.

Основные принципы защиты данных личного характера по­лучили закрепление в Конвенции Совета Европы 1981 г. «О за­щите физических лиц при автоматизированной обработке пер­сональных данных» и Кодексе практики по защите личных дан­ных о работнике, разработанном и одобренном МОТ в 1996 г.

8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В соответствии со ст. 87 ТК РФ порядок хранения и исполь­зования персональных данных работников устанавливается рабо­тодателем с соблюдением требований Трудового кодекса и иных федеральных законов. Персональные данные работника хранятся в документированной форме, характер которой также определяется работодателем. Стандартизированный перечень документации по учету труда и его оплаты установлен поста­новлением Госкомстата РФ от 5 января 2004 г. № 1. Докумен­ты, содержащие информацию о конкретном работнике, фор­мируют его личное дело. Сроки хранения персональных данных работников определяются на основании Перечня типовых управленческих документов, образующихся в деятельности ор­ганизаций, с указанием сроков хранения, утвержденного руко­водителем Федеральной архивной службы России 6 октября 2000 г.

Как полагают специалисты, работодатель должен разрабо­тать специальный локальный нормативный правовой акт, кото­рый должен включать: перечень сведений, относящихся к персональным данным работника по различным категориям должностей; порядок получения персональных данных у третьих лиц, включая последствия для работника в случае его отказа дать со­гласие на их получение; порядок обработки, хранения и использования персональ­ных данных с установлением индивидуальных обязанностей представителей работодателя и ответственности за их наруше­ние; права и обязанности работников на защиту своих персо­нальных данных; порядок ознакомления с актом всех работающих, а также вновь принятых на работу работников.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Отказ от указанных прав может нарушить неприкосновен­ность частной жизни работников, их личную и семейную тай­ну, причинить моральный и материальный ущерб.

10. Работодатели, работники и их представители должны со в местно вырабатывать меры защиты персональных данных работников.

В частности, представители работников могут участвовать в разработке локального нормативного акта, регламентирующего порядок хранения и использования персональных данных ра­ботников.

Add a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *