Персональные данные бывшего работника

Персональные данные бывшего работника

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Работодатель ведет электронную базу работников, содержит сведения, предусмотренные в карточке по форме N Т-2. После увольнения сотрудника имеет ли право работодатель производить обработку персональных данных работников в автоматизированной системе? Возможно ли хранить документы, содержащие персональные данные работников, в электронной форме в целях выполнения требований законодательства об архивном деле?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

3 апреля 2018 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected].

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected]. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/work_law/1193967/

Новое в работе с персональными данными

Новое в работе с персональными данными

Две новости: хорошая и плохая. Плохая: появятся два новых штрафа за нарушения в работе с персональными данными. Подробнее об этих изменениях узнаете чуть ниже.

Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки, ч. 5 ст. 5 Закона № 152-ФЗ. Как только вы выполнили необходимые действия и процедуры, оформили кадровые документы, предоставили сотруднику гарантии и компенсации и т. д., персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте.

Хорошая новость — мы разработали способы, как организовать работу с персданными так, чтобы было удобно вам и безопасно для компании. Как облегчить себе работу — узнаете из статьи.

Выложите на сайт компании Политику о персональных данных

Сколько стоит согласие на обработку персданных на все случаи жизни читайте ниже

Опубликуйте или иным образом обеспечьте неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных, ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ. Политика в области обработки персональных данных — обязательный документ для каждого работодателя.

Вы не можете сократить количество локальных актов и утвердить только Положение о порядке обработки и защите персональных данных. Если у вас нет Политики либо она есть, но вы не опубликовали ее на сайте или другим способом не обеспечили к ней свободный доступ, компании придется платить штраф до 30 тыс. руб., ч. 3 ст. 13.11 КоАП.

Компания должна утвердить Положение о защите персональных данных и другие локальные акты, установить в них порядок обработки персональных сведений, права и обязанности сотрудников в этой области, п. 8 ст. 86 ТК. Но эти локальные акты не заменят Политику, выбрать один из документов не получится.

Политика в отношении обработки персональных данных.

Если у вас нет Политики, как можно скорее утвердите документ. За образец возьмите наше Положение о политике компании в отношении обработки персональных данных.

Если у вас есть Политика, убедитесь, что редакция документа актуальная и он доступен по ссылке на официальном сайте компании.

Скорректируйте Политику по рекомендациям Роскомнадзора

Как не забыть вписать в согласие нужные сведения читайте ниже

Чтобы избежать претензий к содержанию Политики, приведите ее в соответствие с рекомендациями Роскомнадзора.

Убедитесь, что в документе есть необходимая информация, даже если вы указали ее в других разделах. Если сведений не хватает, дополните Политику и не забудьте разместить новую редакцию на сайте.

Если содержание вашей Политики сильно отличается по составу сведений от рекомендованного Роскомнадзором, советуем утвердить новый документ и заменить старую версию на сайте.

Два новых штрафа за нарушения в работе с персональными данными

Работодателя, который без согласия работника передаст его персональные данные третьим лицам, будут штрафовать на сумму от 20 тыс. до 40 тыс. рублей. Депутаты предлагают выделить это нарушение в отдельный состав. Утверждают, что «это повысит эффективность защиты прав работников».

Напомним, что сейчас за разглашение без согласия работника его персданных третьим лицам, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. рублей, но по ч. 2 ст. 13.11 КоАП.

Второй новый штраф грозит тем, кто хранит персональные данные сотрудников в зарубежных базах данных. Должностное лицо за это заплатит от 10 тыс. до 20 тыс. рублей, компания – от 15 тыс. до 75 тыс. рублей.

Собирать, хранить, уточнять и т.д. персональные данные работодатели должны с использованием баз данных, которые находятся на территории России, ч. 5 ст. 18 Закона от 27.07.2006 № 152–ФЗ о персданных. Это требование появилось еще три года назад – 1 сентября 2015 года. Теперь депутаты обнаружили, что ответственности за нарушение данного требования до сих пор нет, и решили дополнить ст. 13.11 новой частью с максимальным штрафом в 75 тыс. рублей.

Проект закона с поправками в КоАП уже прошел общественное обсуждение и антикоррупционную экспертизу

Положение об обработке персональных данных.

Не берите у сотрудника универсальное согласие на обработку персданных

Не тратьте зря время и не берите при приеме на работу у сотрудника универсальное согласие на обработку персональных данных, которое будет действовать вплоть до увольнения.

Письменное согласие должно быть «конкретным, информированным и сознательным», п. 1 ст. 9 Закона № 152-ФЗ. Универсальное согласие, которое вы берете «на все случаи жизни», этим требованиям не соответствует, а значит, можно считать, что согласие работника вы не получили. Если вы обработали персональную информацию без письменного согласия сотрудника, когда оно требовалось, должностное лицо оштрафуют от 10 до 20 тыс. руб., а компанию — от 15 до 75 тыс., ч. 2 ст. 13.11. КоАП.

Компания вправе обрабатывать персданные только с письменного согласия сотрудника, ч. 4 ст. 9 Закона № 152-ФЗ. Обойтись без этого документа можно в случаях, которые называет закон. В других ситуациях запрашивайте у сотрудника отдельное письменное согласие.

Получите без письменного согласия работника его персональные данные у третьих лиц, тоже нарушите закон. По общему правилу персональные данные работника можно получить только у него самого. Если хотите взять сведения о работнике, например, в образовательном учреждении, на прежнем месте работы, заручитесь письменным согласием.

Как сообщить в банк размер зарплаты сотрудника читайте ниже

Заготовьте шаблоны согласия на обработку персданных

Чтобы избежать ошибок и экономить время, не составляйте каждый раз заново согласие на обработку персданных. Заготовьте шаблон и дополняйте его новыми данными по ситуации.

Возьмете у работника письменное согласие, а в документе не окажется обязательных сведений, компанию оштрафуют на 75 тыс. руб., ч. 2 ст. 13.11 КоАП.

Шаблон согласия на обработку персональных данных.

В письменном согласии на обработку персональных данных укажите, ч. 4 ст. 9 Закона № 152-ФЗ.

фамилию, имя, отчество, адрес сотрудника;

реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;

наименование и адрес вашей компании;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дает согласие сотрудник;

способы обработки персданных, которые используете;

срок, в течение которого действует согласие сотрудника, и как его можно отозвать.

Шаблон отзыва согласия на обработку персональных данных.

Проследите, чтобы эта информация была в шаблоне, а затем и в каждом письменном согласии сотрудника.

Согласие на обработку персданных сотрудник должен подписать лично или поставить электронную подпись на электронном документе, ч. 4 ст. 9 Федерального закона № 152-ФЗ.

Сотрудник может в любое время отозвать согласие на обработку персональных данных. Сообщите сотрудникам об этой возможности.

Чтобы они не отвлекали вас каждый раз от работы с вопросом, что писать в таком документе, приложите шаблон письменного отзыва к Положению о защите персональных данных.

Шаблон уведомления о необходимости получить персданные у третьих лиц.

Чтобы получить данные сотрудника у третьих лиц, направьте ему письменное уведомление. В документе сообщите, с какой целью, откуда и как собираетесь получать его персональные данные, а также укажите последствия, если сотрудник не даст письменного согласия, п. 3 ч. 1 ст. 86 ТК. Сохраните шаблон уведомления, чтобы каждый раз не составлять его заново.

Не передавайте третьим лицам персданные работника без его письменного согласия

Если сотрудник устно попросит вас передать третьему лицу информацию, которая содержит его персданные, не делайте этого. Вы не вправе передать третьим лицам персданные сотрудника или бывшего работника без их письменного согласия. Устной просьбы в этой ситуации недостаточно. Такое нарушение проверяющие расценят как обработку данных без письменного согласия сотрудника и оштрафуют от 15 до 75 тыс. руб., ч. 2 ст. 13.11. КоАП.

Сотрудник или бывший работник может указать компанию в перечне рекомендателей, поручителей и других лиц, которые могут предоставить информацию. Однако даже если работник вас об этом попросит лично, не сообщайте сведения о нем, пока не принесет письменное заявление. Прежде чем направить сведения о сотруднике третьим лицам, убедитесь, что они имеют право получить эту информацию, а сотрудник письменно просит, чтобы вы ее передали.

Обяжите работников писать заявления, если они хотят, чтобы вы передали их персданные

Чтобы избежать штрафа за незаконную передачу персданных, объясните работникам, что сведения об их работе, зарплате и т. д. вы сообщите третьим лицам только по письменному заявлению.

Шаблон заявления о передаче персональных данных.

Оптимизируйте процесс: приложите шаблон такого заявления к Положению о защите персданных.

Бывшим работникам объясните, что они должны лично прийти в отдел кадров или прислать заявление по почте.

Если письменного заявления сотрудника нет, а вы получаете от третьих лиц устный запрос или письменную просьбу предоставить персональные сведения, не отвечайте по существу. Уточните, кто и с какой целью хочет получить персональные данные вашего нынешнего или бывшего сотрудника. После сообщите сотруднику, что о нем пытаются получить сведения, и спросите, дает ли он согласие на это. Советуем оформить письменное уведомление.

Если сотрудник даст письменное согласие, передавайте конфиденциальные данные третьему лицу.

Шаблон уведомления о передаче персональных данных

Когда будете передавать персональные данные сотрудника, сообщите получателю о статусе сведений и обязанности использовать персональные данные только в законных целях.

Если сотрудник откажется передавать сведения о себе третьим лицам, пусть напишет отказ на запрос.

Оставьте в личных делах документы, по которым не достигли цели обработки персданных

Храните персональные данные, пока не достигли цели их обработки. Вы не можете подшивать в личные дела все личные документы и копии, даже если получили их от работника.

Шаблон письменного ответа на запрос о передаче персональных данных.

Снимайте и заверяйте копии только для определенных целей. Когда достигнете цели, уничтожьте копию документа.

Источник: http://cokps.ru/2018/09/20/novoe-v-rabote-s-personalnymi-dannymi/

Как защитить персональные данные работников и клиентов

Как уберечь персональные данные от случайной или тем более преднамеренной утечки, рассказывает наш собеседник.

Виктор Владимирович, небольшие организации не всегда могут для защиты персональных данных нанять отдельного специалиста. Что же делать?

В.В. Любезный: Если вы ограничены в средствах, защищайте персональные данные своими силами. Главное — выполнять требования Закона и подзаконных актов, где подробно прописаны конкретные меры по защите персональных данны Желательно пригласить консультанта, который проанализирует ваш бизнес с точки зрения возможных проблем и даст рекомендации.

Что именно надо предпринять для защиты персональных данных?

В.В. Любезный: Защите подлежат не просто персональные данные, а вся информационная система, то есть программы, с помощью которых они обрабатываются, и компьютеры, на которых они хранятс Если весь учет персональных данных ведется в бухгалтерии на единственном компьютере, то защищать надо бухгалтерскую программу, базу данных бухгалтерской программы, пакет офисных программ, операционную систему, компьютер, монитор и подключенный к компьютеру принтер. Если компьютер соединен с локальной сетью, надо защищать и сетевое оборудование, кабели, сервер.

От характера и объема (до 100 тысяч лиц или свыше) персональных данных зависит, как именно их надо защищать. Имеет значение и то, обрабатываются персональные данные только сотрудников организации или кого-то еще, например клиентов. Если в системе хранятся данные о состоянии здоровья людей, их политических взглядах, физиологических и биологических особенностя требования к уровню защищенности информационной системы повышаются.

Необходимый уровень защищенности информационной системы — всего их четыре — зависит еще и от актуальных угроз. Чем больше у информационной системы актуальных угроз, тем строже требования к защищенност

Что это такое — актуальные угрозы?

В.В. Любезный: Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза — это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например офисных, бухгалтерских, почтовых.

Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы?

В.В. Любезный: Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

А какой уровень защищенности информационной системы должен быть у обычной организации, которая никаких персональных данных посторонних лиц не обрабатывает и не хранит?

В.В. Любезный: Если компьютеры с персональными данными сотрудников имеют выход в Интернет, то актуальны угрозы второго типа. И информационные системы в большинстве своем должны иметь третий уровень защищенности.

Какими конкретно мерами надо обеспечить этот третий уровень защищенности?

В.В. Любезный: Эти меры перечислены в Постановлении Правительства № 1119 и Приказе ФСТЭК № 21. Там же установлен порядок их использования для конкретных информационных систем. Если вы не можете реализовать какую-то из этих мер или это для вас слишком дорого, Приказ разрешает заменить ее другой, компенсирующей мерой.

Для начала надо назначить приказом работника, ответственного за обеспечение безопасности персональных данных в информационной системе.

Также приказом надо утвердить перечень сотрудников, которые имеют право доступа к персональным данным. Другие люди в помещение, где размещена система персональных данных, допускаться не должны. На дверях необходимы замки. Ключи должны быть только у сотрудников с правом доступа к информационной системе, а запасной ключ нужно хранить в сейфе руководителя организации. Когда сотрудники выходят из помещения, они должны выключать приборы и обязательно запирать двери и окна. Это надо прописать в правилах внутреннего распорядка.

Необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скачать кто-то кроме ответственных лиц. Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было подсмотреть информацию на мониторах сотрудников и в документах, с которыми они работают.

Но как сделать это на практике? Например, персональные данные всех сотрудников организации хранятся в бухгалтерии. Неужели надо запретить сотрудникам других отделов заходить туда?

В.В. Любезный: Нет, совсем запрещать не надо. Самое главное — не допускать «неконтролируемого проникновения» посторонних в помещени А «контролируемое» пребывание в бухгалтерии сотрудников организации в присутствии ответственного бухгалтера допускается.

Что еще нужно сделать?

В.В. Любезный: Для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Для того чтобы поработать, он должен ввести свое имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ.

Компьютеры должны быть настроены так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. А если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается. И чтобы начать работать, нужно вводить пароль снова.

Каждый пользователь должен иметь право совершать только те действия, которые определены его трудовыми обязанностями. Конечно, урезать права надо в разумных пределах, ведь может возникнуть ситуация, когда одному сотруднику приходится подменять другого.

Если кто-то из сотрудников работает удаленно, между его компьютером и сервером фирмы надо организовать зашифрованный канал связи.

Если с системой персональных данных работают только ответственные сотрудники и они не переписывают информацию на флешки и не выходят в Интернет, этого достаточно?

В.В. Любезный: Утечка персональных данных может произойти не только через Интернет. Надо обеспечить сохранность носителей персональных данных.

Внутренние носители (жесткие диски или носители) находятся внутри компьютеров, серверов, сетевых хранилищ. И меры их защиты те же самые, о которых я уже говорил: не допускать посторонних в помещение. Если при ремонте из компьютера извлекается носитель, он должен храниться в запирающемся шкафу, желательно в сейфе. Внешние носители (флешки, дискеты, карты памяти, сменные жесткие диски) тоже надо хранить под замком. Если вы носите флешку с собой, защитить ее от кражи полностью, к сожалению, невозможно. Но желательно выбрать такую модель флешки, данные на которой защищаются паролем или кодом. Не зная их, записанный на такую флешку файл прочитать не удастся. Если техника отслужила свой срок, ее нельзя просто выбросить на помойку. Многие модели уничтожителей документов способны уничтожать не только бумагу, но и и диски. Можно и просто разломать такой диск на части. Лучше делать это в пакете: при разламывании от диска могут отлететь мелкие кусочки и повредить глаза.

Жесткий диск лучше всего размагнитить. Но для этого требуется специальное оборудование. Если такого оборудования у вас нет, можно вскрыть гермоблок, извлечь металлические диски, на которых записана информация, зачистить их шкуркой с двух сторон и сдать на металлолом. носителей и флешек можно вытащить электронные платы и измельчить микросхемы дремелем или другим режущим инструментом.

Надо ли для защиты персональных данных использовать антивирусные программы?

В.В. Любезный: Конечно. На компьютерах с информационной системой должен стоять современный антивирус, желательно с сетевым экраном. Сетевой экран — это специальная программа, анализирующая обмен данными между компьютером и сетью. Она позволяет блокировать трафик, определять и пресекать атаки на компьютер. Операционная система, антивирус, прикладные программы должны автоматически обновляться.

Wi-Fi, если в нем нет необходимости, надо отключить. Если он нужен, то доступ посторонним надо закрыть длинным, стойким к подбору паролем. То есть пароль должен быть бессмысленным или случайным набором букв, цифр и других символов, желательно не менее восьми.

События, связанные с информационной безопасностью (например, вход пользователя в систему, неудачная попытка входа в систему, попытка входа под заблокированной учетной записью и т. п.), должны записываться в специальный журнал. В Win­dows такой журнал ведется автоматически. Если была попытка кражи данных, просмотр журнала поможет разобраться в произошедшем, например понять, кто работал за компьютером в этот момент.

Может ли кто-то проверить, как соблюдаются все эти меры?

В.В. Любезный: Конечно, к вам могут прийти контролеры из Роскомнадзора и проверить, выполняете ли вы все процедуры определения актуальных для информационной системы угроз и необходимого уровня ее защищенности. И достаточно ли для защиты системы тех мер безопасности, которые вы применяете. Поэтому советую подготовить и хранить документы:

протокол определения и оценки актуальности угроз безопасности обрабатываемых системой персональных данных;
протокол определения типов актуальных угроз и необходимого уровня защищенности информационной системы персональных данных;
протоколы определения и адаптации базового набора мер по обеспечению безопасности;
приказ об утверждении и организации выполнения окончательного набора мер безопасности;
акты о выполнении работ по безопасности, приказ о назначении ответственного сотрудника или структурного подразделения.

Не реже чем раз в 3 года эффективность применяемых вами мер надо проверять и составлять об этом протокол. Также желательно утвердить регламент технического обслуживания и использования информационной системы. В нем надо прописать периодичность и состав мероприятий по контролю работоспособности системы, средства защиты информации, процедуры работы с носителями персональных данных (установка, учет, изъятие, отправка в ремонт или на утилизацию), порядок привлечения новых сотрудников к работе с персональными данными и действия при увольнении сотрудника. А самое главное — неотложные действия конкретных лиц в различных нештатных ситуациях.

Хотя формального требования иметь такой регламент нет, проверяющие его обычно требуют. Но он нужен и вам, чтобы ничего не забыть. Ведь при работе с такими сложными системами, как системы хранения и обработки персональных данных, нарушение порядка действий может привести к тому, что вся система выйдет из строя. Для сотрудников надо составить подробную инструкцию по безопасности при работе в информационной системе персональных данных, следует ознакомить их с ней под роспись. Ее тоже могут потребовать проверяющие.

Что надо дополнительно сделать, если у нас хранятся данные посторонних лиц: родственников сотрудников, партнеров, клиентов?

В.В. Любезный: Если у вас хранятся данные меньше чем 100 тысяч людей, не являющихся вашими сотрудниками, никаких дополнительных мер не нужно. И неважно, кто это — родственники сотрудников, партнеры или клиенты. Ваша система персональных данных останется на третьем уровне защищенности.

Если у вас хранятся данные больше чем 100 тысяч человек, уровень защищенности системы должен быть выше — второй или даже первый. Они требуют дополнительных мер безопасности. Например, надо организовать защиту от спама, обязательно создавать резервные копии баз данных. Есть и более сложные требования: контроль целостности программного обеспечения, обнаружение вторжений. Выполнить их, не привлекая специалистов по безопасности, трудно.

Источник: http://glavkniga.ru/elver/2013/19/1204-zaschititi_personalinie_dannie_rabotnikov_klientov.html

Работодатель не имеет права разглашать персональные данные сотрудников

Любая информация, прямо или косвенно относящаяся к физическому лицу является его персональными данными. Об этом работодателям напомнили в ГИТ по Псковской области. Это имя человека, сведения из трудовой книжки, данные о доходах, семейном положении, адресе проживания и другие данные.

Закон предусматривает деление данных на

общедоступные — фамилия, имя, отчество, дата, год и место рождения, номер телефона и профессия;

биометрические – физиологические особенности;

персональные данные специальной категории – национальность, расовая принадлежность, вероисповедание, состояние здоровья.

Статья 86 Трудового кодекса РФ регламентирует действия работодателя по обработке персональных данных работника исключительно в служебных целях: содействие подчиненным в продвижении по службе, получение ими образования, а также обеспечения личной безопасности сотрудников и контроль за качеством и количеством выполняемой ими работы. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

В статье 88 ТК РФ говорится о требованиях, которые должен соблюдать работодатель при передаче персональных данных работника. Согласие работника обязательно при передаче его персональных данных третьим лицам. Исключение составляют лишь случаи, когда разглашение такой информации необходимо в целях предупреждения угрозы здоровью работника. Запрещается передавать персональные данные в коммерческих целях. Разглашение персональных данных без согласия их носителя является неправомерным.

За незаконное разглашение персональных данных работников работодатель несет ответственность, административную и даже уголовную.

Источник: http://www.klerk.ru/law/news/451168/

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

• федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
• главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Обработка персональных данных и их защита

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

1. из документов, предъявляемых при заключении трудового договора;
2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
4. от кадрового агентства, действующего от имени соискателя;
5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

• цели получения персональных данных работника у третьего лица;
• предполагаемые источники данных (у кого будет запрашиваться информация);
• способы получения данных, их характер;
• возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

• установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
• установить особый порядок выдачи пропусков и удостоверений работников;
• использовать технические средства охраны;
• использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

• даты выдачи и возврата документа,
• наименование документа,
• срок пользования,
• цель выдачи,
• Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

• на граждан – от 300 до 500 руб.;
• на должностных лиц – от 500 до 1000 руб.;
• на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• на граждан – от 500 до 1000 руб.;
• на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

• или штраф в сумме до 200 тыс. руб.,
• или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
• или обязательные работы на срок от 120 до 180 часов,
• или исправительные работы на срок до одного года,
• или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

• или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
• или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
• или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Источник: http://www.klerk.ru/boss/articles/449381/

Хранить или не хранить документы с персональными данными уволенных сотрудников? Разъяснения

Рано или поздно у каждой организации накапливаются большие архивы, которые, в том числе, содержат документы на бывших сотрудников с их персональными данными — ПДн (сведения из приказов, лицевых счетов, налоговых карточек, свидетельств о браке и рождении детей и многое другое). В связи со строгими регламентами работы с персональными данными физических лиц многие компании переживают, что при неправильной обработке и хранении информации бывших сотрудников им грозят штрафные санкции от надзорных органов. Прежде всего, от специалистов Роскомнадзора. Иногда штрафы имеют весомый размер. Давайте выясним, какими нормативными актами регулируется хранение персональных данных?

Сегодня хранение документов, содержащих персональные данные физических лиц, регламентируется различными законами и нормативно-правовыми актами, например:

• Законом о персональных данных
  Согласно этому закону после того, как работник прекратил трудовую деятельность в организации, компания как оператор ПДн достигла целей их обработки и обязана прекратить хранить информацию. Согласно закону на уничтожение документов отводится один месяц.
• Налоговым кодексом Российской Федерации
  Документация, содержащая персданные уволенных, используется в течение длительного срока после увольнения. Так, например, согласно НК РФ необходимо хранить сведения об НДФЛ не менее четырех лет, а информацию о взносах – не менее шести лет.
• Трудовым кодексом Российской Федерации
  Согласно ТК РФ бывшие работники предприятия могут в любой момент обратиться в бухгалтерию или архив за документами, содержащими сведения для расчета пенсионного стажа или величины пособий.
• Законом об архивном деле
  Данный нормативно-правовой акт подразумевает обязательное хранение документов о работников в течение 50 лет после их увольнения (до 2003 года этот срок был еще больше – 75 лет).

Существуют и другие законы, регулирующие хранение документов с личными данными, например, Закон о пособиях по временной нетрудоспособности и в связи с материнством.

Что думают ведомства?

Наличие различных законов и нормативно-правовых актов отражается на восприятии темы инспекторами различных ведомств. Так, например:

• Эксперты из Роскомнадзора настаивают, что организации не должны хранить документы, связанные с браком и детьми, несмотря на доводы о том, что именно эти данные часто нужны для расчета вычета и пособий;
• Инспекторы из налоговой отмечают, что при необходимости они могут проверить все документы, являющиеся основаниями для расчетов, самостоятельно, даже, если это касается уволенных сотрудников, а предоставление копии документы не является юридически значимым.
• В Федеральном Фонде Социального Страхования специалисты отмечают, что наличие документов о сотрудниках, даже уволенных, необходимо при камеральной проверке, иначе ревизор не может проверить обоснованность, например, выплат пособия сотруднику.

Как поступают бухгалтеры?

В связи с неразберихой многие бухгалтеры вынуждены идти на некоторые хитрости, чтобы, с одной стороны, выполнить требования одних надзорных органов, но при этом, с другой стороны, не нарушить регламенты других инстанций. Например, некоторые делят всю документацию о каждом сотруднике на две категории:

1. Внутренние документы – к ним можно отнести приказ, ведомость, заявление сотрудника и др.
2. Внешние документы – личные документы работника.

При этом внутренние документы можно хранить столько, сколько предписывает Закон об архивном деле, и Роскомнадзор не сочтет это нарушением. А вот подход к хранению внешних документов у разных бухгалтеров отличается. Можно выделить четыре основных подхода:

1. Уничтожение внешних документов с предварительным составлением акта, в котором указываются названия документов и их количество. Подписываются подобные акты специально созданной комиссией, в составе которой обязательно должен присутствовать руководитель организации;
2. Передача сотруднику в последний день работы.
3. Хранение документов только в сканированном виде (копии передаются работнику в день увольнения или уничтожаются);
4. Тайное хранение документов и их выдача по запросу. Например, для тех инстанций, которым они требуются, бухгалтерия показывает данные, а для тех, кто штрафует за хранение (например, Роскомнадзор) их не существует.

Как быть? Хранить или не хранить?

Если вы хотите, с одной стороны, соблюдать требования всех инстанций, а, с другой стороны, не столкнуться со штрафами от других надзорных органов, воспользуйтесь сервисом СБИС ЭДО для хранения и обмена электронными документами с контрагентами и государственными инстанциями. Система автоматически подскажет вам, в течение какого срока необходимо хранить тот или иной документ по уволенному сотруднику, и сообщит, можно ли его распечатывать.

Почему современные компании выбирают СБИС ЭДО?

Ведение электронного документооборота в СБИС – это:

• Комфорт – интуитивно понятным интерфейсом быстро овладеет даже новичок;
• Доступность – работать в СБИС ЭДО можно как с ПК и сервера, так и с мобильных устройств;
• Интеграция – с основными учетными системами позволит легко импортировать и экспортировать файлы;
• Безопасность – благодаря криптографической защите вы обеспечите конфиденциальность личных данных сотрудников;
• Выгодная стоимость, благодаря которой тысячи компаний в вашем городе выбрали ПО от СБИС.

Хотите заказать СБИС ЭДО или задать вопросы о сервисе? Обратитесь к нашим специалистам, и они быстро ответят!

Источник: http://www.abt.ru/blog/khranit-ili-ne-khranit-dokumenty-s-personalnymi-dannymi-uvolennykh-sotrudnikov-razyasneniya/