7 основных правил работы с персональными данными

Вокруг персональных данных много мифов и домыслов. На практике часто встречаются крайности: работодатели либо необоснованно засекречивают всю информацию о работнике, либо вообще не обращают внимания на защиту их персональных данных.

Давайте разберемся с правилами работы с персональными данными (ПД).

  1. Правило 1. Работать с ПД в рамках закона
  2. Правило 2. Понимать, какие сведения относятся к ПД
  3. Правило 3. Различать категории ПД
  4. Правило 4. Уметь обрабатывать ПД
  5. Правило 5. Грамотно оформлять документы по работе с ПД
  6. Правило 6. Знать права работника и обязанности работодателя при работе с ПД
  7. Правило 7. Учитывать ответственность работодателя за нарушение защиты ПД

Правило 1. Работать с ПД в рамках закона

Для начала следует разобраться с терминологией и понять, кто является «субъектом ПД» и «оператором ПД».

Переведем эти понятия на язык трудового законодательства:

Субъект ПД — кандидат / стажер / работник / бывший работник, тот, чьи ПД обрабатываются.

Оператор ПД — работодатель, тот, кто обрабатывает ПД.

На сегодняшний день в России несколько нормативных актов регламентируют работу с ПД (Таблица 1).

нормативные акты по работе с персональными данными

Правило 2. Понимать, какие сведения относятся к ПД

Мы живем в информационном мире, и всю информацию можно разделить на два вида:

  • Общедоступная — сведения и иная информация,доступ к которой не ограничен.
  • Информация ограниченного доступа, к которой относятся государственная тайна и конфиденциальная информация, включающая более 40 видов тайн: служебную, коммерческую и др., в том числе персональные данные.

Являются ли Ф.И.О. персональными данными? В каких-то случаях да, в других – нет.

Какие сведения относятся к «персональным данным»?

Любая информация, которая прямо или косвенно относится к физическому лицу.

Таким образом, просто Ф.И.О. не являются ПД, пока нельзя определить, кому они принадлежат. Для того чтобы Ф.И.О. «Иванов Иван Иванович» отнести к персональным данным, требуется наличие конкретного лица, которое можно по этим данным идентифицировать.

Например, Иванов Иван Иванович — генеральный директор ООО «Компания». Здесь мы понимаем, о каком конкретно человеке идет речь, и в данном случае Ф.И.О. относятся к ПД.

Правило 3. Различать категории ПД

Законодательство выделяет четыре категории ПД:

  1. Общие или общедоступные — известны другим людям и могут быть опубликованы в общедоступных источниках. Это базовые личные данные: Ф.И.О, место жительства / регистрации, сведения об образовании / квалификации, информация о месте работы, номер телефона, e-mail и др.
  2. Специальные — это информация о личности человека. Они отличаются от других категорий тем, что, как правило, находятся в закрытом доступе. Их можно получить только у самого человека или по официальному запросу в поликлинику, правоохранительные органы, суд и т. д. Например, расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности личной жизни, информация о судимостях и др.
  3. Биометрические — это физиологические или биологические особенности человека, которые используют для установления его личности. К этой категории относятся фотографии, дактилоскопические данные, радужная оболочка глаз, группа крови, генетическая информация и т. п.
  4. Иные — это дополнительная информация, которая часто может меняться, и эти данные нельзя отнести к категориям общедоступных, специальных или биометрических данных. Например, корпоративные данные, информация, которая находится в организации: заработная плата, разные виды стажа, периоды отпусков и пр.

Правило 4. Уметь обрабатывать ПД

К обработке ПД относится любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПД, например сбор, систематизация, хранение, использование, передача, уничтожение и др.

Обработка любых категорий ПД допускается с письменного согласия работника.

Обработка общих ПД осуществляется, если:

  • обработка необходима для достижения целей, предусмотренных законом (например, ст. 24 НК РФ), для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. Например, передача ПД при перечислении налогов в бюджетную систему РФ, поскольку работодатель является налоговым агентом;
  • обработка необходима для исполнения трудового договора, стороной которого является работник. Например, передача информации в налоговую инспекцию;
  • работник предоставил доступ к ПД (либо по его просьбе) для неограниченного круга лиц. Например, работник попросил сделать рассылку о размещении информации о его юбилее.

Обработка специальных категорий ПД происходит в случаях, если:

  • ПД сделал общедоступными сам работник;
  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка происходит в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка биометрических ПД осуществляется без согласия работника:

  • если фото и записи сделаны на массовых и публичных мероприятиях;
  • в связи с реализацией международных договоров РФ о реадмиссии — согласии государства на прием обратно на свою территорию граждан, которые подлежат депортации из другого государства;
  • в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ;
  • в случаях, предусмотренных законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ. Например, работника отправляют в служебную командировку за пределы РФ.

Вместе с тем следует помнить, что при размещении видеокамер нужно учитывать требования законодательства, поскольку скрытое слежение за работником является противоправным.

В разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указано, что требуется разработка и принятие локального акта, в котором необходимо определить цели установки видеокамер. Также в организации должны быть установлены таблички «Внимание! Ведется видеонаблюдение». Каждого работника следует уведомить об установке камер слежения лично под подпись и в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте.

Как обрабатываются персональные данные

ПД могут обрабатываться разными способами:

  • без использования средств автоматизации / неавтоматизированная обработка, если такие действия осуществляются при непосредственном участии человека;
  • с использованием средств автоматизации, при обработке ПД в информационных системах.

Работодатель должен обеспечить определенную степень защиты ПД в зависимости от категории данных (Таблица 2):

степень защиты ПД

Для использования ПД в автоматизированных системах работодатель должен иметь защищенную IT-инфраструктуру и отслеживать, чтобы ПД всегда были доступны, исключить их потерю и передачу ПД третьим лицам.

Правило 5. Грамотно оформлять документы по работе с ПД

В ряде случаев, например при размещении ПД работника на сайте организации, для обработки разных категорий ПД требуется письменное согласие работника, которое должно включать в себя:

  • Ф.И.О. работника, адрес, сведения о документе, удостоверяющем его личность;
  • наименование (Ф.И.О.) и адрес работодателя, получающего согласие работника на обработку ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых дается согласие работника;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых работодателем способов обработки ПД;
  • срок, в течение которого действует согласие, а также порядок его отзыва;
  • подпись работника.

В организации должно быть утверждено Положение о защите ПД работников.

Оно регламентирует порядок получения, хранения, использования и защиты ПД, закрепляет права и обязанности работодателя и работников, а также определяет ответственность сторон трудового договора.

Правило 6. Знать права работника и обязанности работодателя при работе с ПД

Работодатели, работники и их представители должны совместно вырабатывать меры защиты ПД работников, работники не должны отказываться от своих прав на сохранение и защиту тайны.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

  • на полную информацию об их ПД и обработке этих данных;
  • свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты ПД;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства (при отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия);
  • дополнение заявлением, выражающим собственную точку зрения работника на ПД оценочного характера;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • ознакомление под подпись с документами работодателя, устанавливающими порядок обработки ПД, а также об их правах и обязанностях в этой области.

Обязанности работодателя

  • Все ПД работника следует получать у него самого. Если ПД работника возможно получить только у третьей стороны, то у работника нужно взять письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.
  • Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям ПД, за исключением случаев, предусмотренных законодательством, например при назначении пособия по временной нетрудоспособности.
  • Работодатель не имеет права получать и обрабатывать ПД работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством. Например, если работник исполняет государственные или общественные обязанности, работодатель должен освободить работника на время от работы с сохранением за ним места работы в соответствии со ст. 170 ТК РФ.
  • При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • Не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством. Например, при вызове скорой помощи или передаче информации трудовой инспекции, налоговой и др. при проведении проверки.
  • Не сообщать ПД работника в коммерческих целях без его письменного согласия.
  • Разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций.
  • Предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, например оформить обязательство в письменной форме о неразглашении ПД.
  • Осуществлять передачу ПД работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
  • Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
  • Передавать ПД работника представителям работников, например профсоюзам, в порядке, установленном законодательством, и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций.

Защита ПД работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.

Работник имеет право обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Правило 7. Учитывать ответственность работодателя за нарушение защиты ПД

В соответствии с Административным регламентом предметом государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства являются:

  • документы, характер информации в которых предполагает или допускает включение в них ПД;
  • информационные системы ПД;
  • деятельность по обработке ПД.

Лица, виновные в нарушении законодательства РФ в области ПД, привлекаются к дисциплинарной и материальной ответственности в соответствии с Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (Таблица 3).

Поскольку штрафы за нарушение работы с ПД повышены, работодателю следует внимательнее относиться к обработке данных своих работников и учитывать эти основные правила.

отвественность за нарушения

09.04.2021

envelope

Спасибо! Вам на e-mail отправлено письмо со ссылкой для подтверждения

Если письмо не пришло, поищите его в папке со спамом или повторите подписку

email-checked.png

Вы подписались на рассылку