Работа с персональными данными работников: ответы на вопросы (Часть 1)

29 сентября 2022

744

Время чтения: 9 мин.

#общие вопросы #трудовое право #трудовые отношения #инструкция #нововведения

Нет времени читать? Отправить на почту

Что следует делать работодателям, чтобы обеспечить охрану персональных данных работников, и как уведомлять Роскомнадзор о намерении обрабатывать персональные данные, с учетом изменений законодательства, вступивших в силу 1 сентября 2022 года? Об этом вы расскажем в нашей новой статье.

Как защитить персональные данных работников?

Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Как правило, к персональным данным человека относят Ф.И.О., пол, возраст, образование, профессию, квалификацию, семейное положение, место жительства, наличие судимости, размер доходов и прочие сведения, которые характеризуют человека и позволяют достаточно точно идентифицировать его.

Под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Каждый работодатель обязан осуществлять защиту имеющихся у него персональных данных работников. Закон позволяет работодателю вести обработку персональных данных как автоматизированным, так и неавтомазированным способом. Выбирая способ, работодателю следует помнить, что при принятии решения, затрагивающего интересы работника, он не может основываться на данных, полученных исключительно в результате автоматизированной обработки или электронного получения.

Работодатель обязан сохранять конфиденциальность персональных данных работников. В связи с этим в процессе обработки персональных данных следует уделить особое внимание их учету и защите. В связи с этим закон возлагает на оператора персональных данных назначение лица, ответственного за организацию обработки персональных данных, издание документов, определяющих политику работодателя в отношении обработки персональных данных работников и ознакомление работников с ними, внутренний контроль и аудит соответствия обработки персональных данных законам и локальным актам работодателя, оценку вреда, который может быть причинен работникам в случае нарушения требований по защите персональных данных, организационные и технические меры по защите персональных данных.

Назначение лица, ответственного за организацию обработки персональных данных

Работодатель-организация вправе назначить лицо, ответственное за организацию обработки персональных данных. Индивидуальный предприниматель может выполняет его функции самостоятельно. В зависимости от объема обязанностей Ответственного лица можно либо ввести отдельную должность, либо возложить эту функцию на кого-либо из действующих сотрудников. Помимо приказа о назначении Ответственного лица следует оформить документы, определяющие перечень его обязанностей. Порядок работы такого сотрудника определен в ст. 22.1 Закона № 152-ФЗ. Согласно п. 2 этой нормы Ответственное лицо подотчетно исполнительному органу организации-работодателя. Этот же орган вправе давать указания Ответственному лицу.

В обязанности Ответственного лица входит контроль за соблюдением работодателем и работниками требований законодательства об обработке и защите персональных данных, доведение до сведения работников положений закона и локальных актов организации о персональных данных, организация, прием и обработка обращений и запросов субъектов персональных данных или их представителей. Для работы Ответственному лицу понадобится подробная информация как о самом операторе персональных данных, так и иные сведения. Полный перечень таких сведений закреплен в ч. 3 ст. 22 Закона № 152-ФЗ. Работодатель, в свою очередь, обязан предоставить эти сведения.

Осуществление внутреннего контроля и аудита соответствия обработки персональных данных законам и локальным нормативным актам

Для качественной и всесторонней защиты обрабатываемых персональных данных недостаточно издать соответствующие локальные акты и указать работникам на необходимость соблюдения, закрепленных в них правил, а также законодательства о защите этих данных. Необходим контроль за исполнением требований и соблюдением правил, закрепленных в указанных документах.

Как правило, функции осуществления такого контроля возлагаются на лицо, ответственное за организацию обработки персональных данных. Закон не содержит перечня обязанностей такого лица, позволяющих осуществлять всесторонний контроль за исполнением правил по обработке персональных данных. Тем не менее контроль может осуществляться путем отслеживания изменений действующего законодательства в сфере защиты персональных данных, проверки соответствия деятельности организации по защите персональных данных требованиям закона и локальных нормативных актов, своевременного приведения локальных нормативных актов организации в соответствие с действующим законодательством о защите персональных данных, оптимизации способов и методов защиты персональных данных и т.д.

В целях организации внутреннего контроля за соблюдением законодательства о персональных данных целесообразно разработать план контрольных и проверочных мероприятий. В этом плане можно закрепить перечень мероприятий внутреннего контроля, а также способы, методы, периодичность и другие параметры мероприятий по внутреннему контролю.

Оценка вреда, который может быть причинен работникам при нарушении требований по защите персональных данных

Порядок проведения такой оценки законом не закреплен и осуществляется работодателем по собственному усмотрению. Такую оценку целесообразно проводить в первую очередь, поскольку от ее результата будет зависеть выбор мер, необходимых для качественной защиты персональных данных. Поскольку объемы, виды и другие характеристики персональных данных могут со временем меняться, оценка возможного вреда может проводиться и с какой-нибудь периодичностью.

Периодичность, порядок проведения, результаты и прочие характеристики оценки вреда персональных данных фиксировать документально не обязательно. Но законом это не запрещено. При необходимости можно осуществлять и такую фиксацию. Поскольку зачастую нормативные и локальные акты о персональных данных являются сложными документами, одного ознакомления с ними недостаточно. Рекомендуется проводить обучение сотрудников, в ходе которого необходимо разъяснить им все положения законов и локальных актов. По результатам такого обучения может быть осуществлено тестирование/аттестация работников на знание материала.

Применение правовых, организационных и технических мер по защите персональных данных

Как следует из ч. 1 ст. 19 Закона № 152-ФЗ, при обработке персональных данных необходимо принимать необходимые правовые, организационные и технические меры. Они призваны защитить персональные денные от неправомерного доступа, копирования, изменения, блокирования, уничтожения и т.д. Примерный перечень мер, которые могут быть приняты работодателем для защиты персональных данных работников, приведен в ч. 2 ст. 19 Закона № 152-ФЗ. Причем выбор способов защиты будет зависеть от того, обрабатываются персональные данные в информационных системах или нет. Под информационной системой персональных данных понимают совокупность всех персональных данных, обрабатываемых работодателем, а также технологий и технических средств для их обработки. То есть речь идет об обработке персональных данных автоматизированным способом. Помимо указанных мер рекомендуется также организовать физическую защиту носителей персональных данных, мест, где они хранятся и т.д. В частности, для этого понадобится оборудовать специальное помещение для хранения персональных данных и ограничить к ним доступ.

Как получить персональные данные работников?

Получение персональных данных непосредственно от работника

По общему правилу все персональные данные работника должны быть получены от него самого. При определении перечня необходимых персональных данных работодатель должен учитывать, что их обработка может проводиться исключительно в целях соблюдения законодательства, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, сохранности имущества, а также контроля за выполняемой работой.

Если работодатель обрабатывает персональные данные неавтоматизированным способом, то формы документов, в которых содержатся такие данные, должны содержать сведения о цели обработки персональных данных, адрес работодателя, фамилию, имя, отчество и адрес работника, источник получения персональных данных, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки, содержать поле с отметкой работника о согласии на обработку персональных данных без использования средств автоматизации – если письменное согласие на обработку персональных данных является обязательным условием, быть так составлены, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными из документа, не нарушая прав и законных интересов иных лиц, исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимые. Закон не предъявляет жестких требований к формам документов при автоматизированной обработке персональных данных, поэтому работодатель может разработать их самостоятельно.

Получение персональных данных работника от третьих лиц

В некоторых случаях персональные данные могут быть получены только у третьей стороны. В этом случае работника следует уведомить о намерении запросить его персональные данные и получить его письменное согласие на это. Для этого необходимо составить и представить работнику на подпись документ с указанием на перечень необходимых работодателю персональных данных работника, цель обработки персональных данных и ее правовое основание, перечень персональных данных, предполагаемых пользователей персональных данных, законные права субъекта персональных данных, способ и источник получения персональных данных, последствия отказа работника от дачи письменного согласия на их получение. Какие именно последствия могут быть, в законе не указано. В каждом конкретном случае такие последствия будут индивидуальными: например, недостаток информации о работнике может стать препятствием для дальнейших полноценных трудовых отношений. Форма уведомления работника, а также его согласия на получение персональных данных у третьего лица нормативными актами не утверждены. Работодателю придется разработать их самостоятельно.

При этом законом предусмотрен ряд случаев, когда работника можно не уведомлять о получении его персональных данных у третьих лиц. Работодатель освобождается от этой обязанности, если работник уже уведомлен об осуществлении обработки его данных, данные получены на основании закона или в связи с исполнением договора, стороной, выгодоприобретателем или поручителем по которому является работник, персональные данные являются общедоступными, обработка данных осуществляется для статистических и иных исследовательских целей, осуществления профессиональной деятельности журналиста, научной литературной или иной творческой деятельности, предоставление таких данных работнику нарушает права и законные интересы третьих лиц.

Заказать звонок

Сэкономьте время! Оставьте заявку на консультацию специалиста 1С.

Ваше имя

Телефон *

Подтвердите, что вы не робот *

Нажимая на кнопку , Вы даете согласие на обработку своих персональных данных и соглашаетесь с политикой конфиденциальности

Вконтакте

Содержание статьи

Рассылка нашего блога

Электронная почта *

Политика конфиденциальности персональных данных.

Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всей информации, которую данный сайт, может получить о Пользователе во время использования (а также его субдоменов), его программ и его продуктов.
1. Определение терминов.
В настоящей Политике используются следующие термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному юридическому или физическому лицу (субъекту персональных данных);
– оператор персональных данных – Администрация сайта (далее – Администрация) – сотрудники, уполномоченные на управление, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.;
– сайт — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL), а также его субдоменах;
– субдомены – это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту, а также другие временные страницы, внизу который указана контактная информация Администрации;
– пользователь сайта (далее Пользователь) – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее информацию, материалы и продукты сайта.
2. Общие положения.
2.1 Назначение политики конфиденциальности.
2.1.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет .
2.2. Права и обязанности сторон.
2.2.1. Пользователь вправе:
2.2.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта, и давать согласие на их обработку.
2.2.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
2.2.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.2.2. Администрация обязана:
2.2.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 3 настоящей Политики конфиденциальности.
2.2.2.2. Принять меры для хранения конфиденциальной информации в тайне,
не разглашать без предварительного письменного разрешения Пользователя, а также
не осуществлять продажу, обмен, опубликование, либо разглашение иными
возможными способами переданных персональных данных Пользователя,
за исключением п. 6.3. настоящей Политики Конфиденциальности.
2.2.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
2.2.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
2.3. Использование сайта Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.4. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.
2.5. Настоящая Политика конфиденциальности применяется к сайту.
2.6. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.
3. Цели сбора персональных данных.
3.1. Персональные данные Пользователя Администрация может использовать только в связи с заключением договора, стороной которого является субъект персональных данных. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
4. Правовые основания обработки персональных данных.
Правовым основанием обработки персональных данных является:
– федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
– уставные документы оператора;
– договоры, заключаемые между оператором и субъектом персональных данных;
– согласие субъекта на обработку персональных данных;
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте и включают в себя следующую информацию:
5.1.1. имя Пользователя;
5.1.2. контактный телефон Пользователя;
5.1.3. адрес электронной почты (e-mail).
5.2. К категориям субъектов персональных данных относятся работники оператора.
Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
6.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
6.4. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
6.5. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
7. Разрешение споров.
7.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
7.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
7.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда.
7.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.
8. Дополнительные условия.
8.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Настройки

Назад к списку