Персональные данные: как работать по закону?

Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.

pers_d

Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования. Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.

Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).  Такое определение дано в  п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):

То есть, к персональным данным относят:

  • фамилию, имя, отчество, дату и место рождения;
  • сведения об образовании (в том числе послевузовском профессиональном) - номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
  • семейное, социальное и имущественное положение работника;
  • профессию и места работы;
  • любые документы, которые содержат вышеперечисленные данные;
  • документы, содержащие сведения о членах семьи и иных третьих лицах;

и так далее.

Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.

Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения, позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.

Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы. Для того чтобы оформить человека на должность, и в дальнейшем  поддерживать с ним трудовые отношения, ИНН не требуется.  Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.

Что еще должен делать работодатель при обработке персональных данных?

Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.

Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:

  • описание внешнего и внутреннего доступа к персональным данным;
  • перечень лиц, которым предоставлен такой доступ;
  • ответственность за разглашение сведений;
  • порядок работы с персональными данными;
  • регламент защиты персональных данных (включая защиту от третьих лиц).

С соответствующими положениями и своими правами работники должны ознакомиться под роспись.

Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:

1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;

2) «Основные понятия" – указываются используемые определения;

3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором

4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);

7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;

8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;

8) «Заключительные положения» – сюда включаются положения  о вступлении в силу акта, длительность его действия, и порядок его изменения.

Как защитить персональные данные сотрудников

Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность  и безопасность информации в процессе деятельности компании.

Закон предусматривает  внутреннюю и внешнюю защиту.

  • Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
  • Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и  так далее.

Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.

Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.

Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21  «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.

Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:

  • обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
  • обеспечить сохранность носителей персональных данных;
  • защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  • издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Персональные данные потенциальных сотрудников: как поступать с кандидатами

Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда  люди приходят на собеседования?

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

В заключение хотелось бы подчеркнуть, что работа с персональными данными — это высочайший уровень ответственности. Не стоит пренебрегать правилами  и недооценивать важность получения согласия и формирования защиты. Кроме того помните, что  сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер.  Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.

Анна Никурадзе, старший юрист Департамента трудового права Института профессионального кадровика