Документы относящиеся к персональным данным работника

Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

Документы относящиеся к персональным данным работника

Сотрудники кадровых отделов работают с персональными данными работников организации: получают, обрабатывают, хранят и передают сведения. Работа с этой информацией регламентируется законом (ТК РФ и ФЗ №152- ФЗ «О персональных данных»). Нужно знать правила обращения с персональными сведениями, чтобы избежать нарушений и штрафов.

Что относится к персональным данным

Статья 3 Закона  №152-ФЗ говорит, что персональные данные — это информация о лице:

  • ФИО;
  • дата рождения;
  • место рождения;
  • адрес;
  • семейное положение;
  • образование;
  • профессия;
  • доходы.

Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами. Персональные данные нужны работодателю для оформления и поддержания трудовых отношений (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:

  • документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
  • трудовая книжка;
  • СНИЛС;
  • военный билет;
  • документ об образовании;
  • ИНН;
  • водительское удостоверение;
  • медицинская книжка (если требуется).

Важно! Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).

Обработка персональных данных сотрудника

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т.д. Во время обработки соблюдайте требования статьи 86 ТК РФ:

  • у обработки должна быть цель и основания;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия; 
  • персональные сведения передает сам гражданин.

В локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными.

Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

Категории персональных данных

К первой категории относятся личные сведения о расовой принадлежности, состоянии здоровья, политических взглядах.

Ко второй категории относится информация, благодаря которой можно получить дополнительную информацию о субъекте — номер телефона, семейное положение, прежнее место работы и т.д.

В третьей категории содержится информация, позволяющая идентифицировать работника (ФИО+ паспортные данные).

В последней, четвертой категории находятся общедоступная информация(данные о профессии и квалификации).

Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ). Документы по сотруднику объединяются в личное дело. Порядок хранения и ведения личных дел вводит и контролирует работодатель.

 Личные дела руководителей компании, работников, имеющих государственные звания, и так далее хранятся постоянно. Личные дела других работников храните 75 лет.

 Ответственность по хранению, ведению, учету, выдаче трудовых книжек тоже возлагается на работодателя. 

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  • известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
  • передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  • доступ к данным получают только специально уполномоченные лица;
  • запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего).

Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным.

Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Ответственность за нарушение правил работы с личной информацией

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение. 
  • К административной ответственности относятся предупреждение или штраф от 3 до 5 МРОТ.
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают  персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя. 
  • Уголовная ответственность по ст. 137 УК РФ за незаконное распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо арест до 4 месяцев.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Источник: https://www.b-kontur.ru/enquiry/420-personalnye-dannye-sotrudnikov

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Документы относящиеся к персональным данным работника

Что такое персональные данные?
Как избежать претензий со стороны контролирующих органов и сотрудников
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Ответственность за нарушение закона 152-ФЗ
ТОП-5 нарушений, за которые штрафуют компании и руководителей

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных». За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Что относится к персональным данным работника

Документы относящиеся к персональным данным работника

Что входит в понятие персональные данные сотрудника? Как работодатель должен их хранить и защищать? Что будет, если допустить утечку? Все это — очень важные вопросы, в которых надо ориентироваться и руководителям, и специалистам кадровых служб. Читайте статью, скачайте образцы необходимых документов

Вопросы, связанные с персональными данными работников, регламентирует Федеральный закон №152 от 27.06.2006. Его цель — защитить права на защищенность частной жизни, сохранение тайн личности и семьи.

Статья 3 этого закона содержит основные определения. В частности, о персональных данных (ПД) сказано, что это информация, которая имеет отношение к физическому лицу. То есть, сведения, по которым человека можно однозначно идентифицировать, а также те, которые относятся к нему косвенно.

Четко очерченного законом списка таких сведений нет. К базовому набору относятся:

  • фамилия, имя, отчество;
  • дата рождения;
  • семейный статус и состав семьи;
  • данные об имуществе;
  • информация об образовании;
  • профессия и трудоустройство;
  • данные о доходах.

Этот список может меняться, в зависимости от того, в какой области применяются данные о человеке. Например, если речь идет о трудоустройстве, персональные данные работника — это информация, необходимая работодателю: общий стаж, прошлые места работы, прохождение военной службы, особые знания и допуски, сведения о здоровье.

Закон требует, чтобы лица, которые получают доступ к ПД, сохраняли их конфиденциальность. То есть не допускали попадания в третьи руки без согласия обладателя этих данных, кроме случаев, отдельно предусмотренных законодательством. Об этом сказано в 7-й статье ФЗ №152.

Информацию о работнике работодатель может получить из:

  • удостоверения личности (например, паспорт, военный билет, загранпаспорт); военного билета;
  • трудовой книжки;
  • номера индивидуальной страховки (СНИЛС);
  • водительских прав;
  • аттестата об образовании;
  • медицинской книжки.

Согласно статье 86 Трудового Кодекса, работодатель обязан обеспечить защиту и неприкосновенность сведений о сотрудниках.

Обработка персональных данных

Закон №152 определяет обработку ПД как действие или систему действий, которые предпринимаются в отношении личной информации. Операции могут быть совершены как с применением автоматизированных средств, так и без них.

В списке основных действий: сбор, систематизация, хранение, обновление или изменение, передача, предоставление доступа, блокировка, обезличивание, уничтожение.

Большинство этих действий описаны в статье 3 закона «О персональных данных», а в статье 5 описаны принципы обработки ПД.

При трудоустройстве обработка личных данных происходит на самых разных этапах: при собеседовании и зачислении в штат, при заключении договора, в результате карьерного роста и других видах трудового взаимодействия. Работодатель при этом выступает в роли оператора — юридического лица, которое проводит обработку персданных.

► Пять действий с персональными данными, о которых до сих пор забывают кадровики и попадают на штраф

Статья 87 ТК России предоставляет работодателям самостоятельное право устанавливать порядок использования и хранения личных данных работников, при условии, что соблюдены Трудовой Кодекс и федеральное законодательство. В частности, следует выполнять нормативы статьи 86 Трудового Кодекса. Вот основные:

  • Для обработки персданных нужны основания и цель.
  • Передачу персданных производит сам их обладатель.
  • Нельзя сообщать личные данные сотрудника третьим лицам без его письменного согласия.

Для выполнения этих требований, следует зафиксировать во внутренних актах компании Правила защиты персональной информации сотрудников. Работников следует ознакомить с этими правилами под роспись и получить от каждого согласие на обработку. Чтобы подойти во всеоружии к возможным проверкам, следует подготовить:

  • Положение о политике компании в отношении обработки персональных данных.
  • Подписанные согласия работников на обработку их личной информации.
  • Приказ о назначении лиц, которые в вашей организации ответственны за работу с ПД.

Скачать образец >>>

Цели обработки определены в 1-й части статьи 86 ТК. Вкратце, их можно описать так:

  • Обеспечить законодательные требования.
  • Помочь сотрудникам получить образование, трудоустроиться или развить карьеру.
  • Гарантировать им личную безопасность.

В числе принципов обработки:

  • Она возможна, только если цели заранее определены и законны.
  • Объем и суть должны соответствовать обозначенным целям.
  • Обязательно соблюдение точности, достаточности и актуальности, соотносительно с целями.
  • Хранение в форме, позволяющей определить обладателя ПД, допустимо только на тот срок, который определен целями обработки.

Проще говоря, работодатель может обрабатывать ПД сотрудников только в том объеме, который требуется в рамках служебного взаимодействия.

Виды персональных данных

Порядок обработки и получения согласия может отличаться, в зависимости от категории персданных. Различают 4 основных:

  • Первая. Сведения о принадлежности к той или иной расе, о политических взглядах, здоровье.
  • Вторая. Сведения, при помощи которых можно получить больше информации о человеке. К ним относятся, например, место прежней работы, данные о членах семьи, телефонный номер.
  • Третья. Идентифицирующая информация, например, паспортная.
  • Четвертая. Общедоступные сведения. Например, образование и опыт: специальность, квалификация.

► Как получить и передать персональные данные и не нарушить закон

Использование персональных данных работника работодателем

Согласно Трудовому Кодексу (ст. 87), работодатель может сам устанавливать порядок обработки, хранения и использования личных данных своих сотрудников. Но установить этот порядок, прописать его в локальных актах и соблюдать — обязательно. Отсутствие Положения о персданных может повлечь штраф, согласно статье 13.11 КоАП.

Вот ключевые моменты, на которые надо обращать внимание при хранении и использовании ПД:

  • Информация о сотруднике, а также вся связанная с этим документация, хранятся в личном деле.
  • Если в процессе использования персданных необходимо передать их третьим лицам (обязательно согласие субъекта), следует уведомить тех, что сведения можно использовать только в тех целях, для которых они получены.
  • Внутри организации передавать данные можно только по правилам, установленным локальным актом, с которым работники ознакомлены под роспись.
  • Доступ к такой информации имеют только работники, чьи полномочия утверждены соответствующим приказом.
  • Нельзя требовать от сотрудника сведений о здоровье, кроме тех случаев, когда это необходимо, чтобы выяснить, может ли человек выполнять служебные функции.

Все правила передачи персданных описаны в статье 88 Трудового Кодекса.

Сотрудник вправе получить информацию о том, как используются его личные данные. Например, он может запросить отчет о том, кому и в каком объеме переданы сведения о нем. И работодатель должен такой отчет предоставить. Также следует обеспечить каждому сотруднику свободный доступ к его личному делу.

Личные дела подлежат хранению и после того, как человек уволится. Это прописано в Перечне типовых документов Росархива. Срок хранения дел рядовых сотрудников — 75 лет, а папки руководителей и менеджеров высшего звена сохраняются навсегда.

Ответственность работодателя

Как уж было сказано, отсутствие Положения о персональных данных — это нарушение, за которое могут оштрафовать. Но это далеко не единственная ответственность работодателя в этом случае. Трудовое законодательство защищает личность сотрудников, за нарушение принципов работы с персданными предусмотрена ответственность:

  • Дисциплинарная. Самая строгая мера, увольнение, может последовать только за нарушение конфиденциальности. Для других проступков мерой может быть избрано замечание или выговор.
  • Административная. Это могут быть предупреждения или штрафы за отсутствие предусмотренных законодательством документов (Положения, приказов об ответственных лицах).
  • Материальная. Ее несут работники, которые уполномочены обрабатывать ПД. Например, сотрудник, сведения о котором без его согласия стали доступны третьим лицам, может потребовать компенсацию морального ущерба.
  • Уголовная. Предусмотрена статьей 137 УК России и также за разглашение персданных. Мерой наказания может быть избран штраф до 200 000 рублей, исправительные работы до 180 часов или заключение на срок до 4 месяцев.

Источник: https://www.pro-personal.ru/article/1097428-17-m6-personalnye-dannye-rabotnika

За персональные данные теперь штрафуют строже. Что важно проверить

Документы относящиеся к персональным данным работника

С 1 июля 2017 года за неправильную работу с персональными данными работодателя будут штрафовать на 75 000 рублей. У Роскомнадзора теперь есть семь оснований для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей (ст. 13.11, п. 58 ч.

2 ст. 28.3 КоАП РФ). Раньше штрафы применяла прокуратура. Чтобы у директора не было нареканий к кадрам по поводу сохранности персональных данных, проверьте себя на предмет ошибок в работе с помощью нашего теста. Ваши ответы покажут, какими суммами может рисковать компания.

 

Когда нужно получать у работников согласие на обработку персональных данных

Проверяющие выяснят, получала ли кадровая служба согласие работника на обработку данных в случаях, когда оно требуется. Не всем понятно, когда согласие предполагается по умолчанию, а когда нужен письменный документ.

Пояснения. Поскольку сотрудник выступает стороной трудового договора, получать у него согласие на обработку персональных данных не обязательно. Но собирать информацию о сотруднике работодатель может строго в ситуациях, указанных в законе, коллективном договоре и локальных актах (п. 2, 5 ч. 1 ст.

6 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14 декабря 2012 г., далее – Разъяснения). Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил: 
– по результатам обязательного предварительного медосмотра (ст. 69 ТК РФ, п.

3 Разъяснений);
– из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК РФ);
– от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
– из резюме кандидата, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст.

6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, предусмотренном личной карточкой формы № Т-2. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Чтобы узнать дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется согласие. Ведь если такие сведения отсутствуют, это не мешает исполнять трудовой договор.

Поэтому, чтобы исключить спорные ситуации, рекомендуем все же при приеме на работу получить у сотрудника письменное согласие на обработку данных и включить в него информацию, которая нужна для эффективного взаимодействия с работодателем.

Пояснения. Чтобы изготовить пропуск, получите письменное согласие работника использовать его фотографию. В этом случае фото нужно, чтобы идентифицировать человека, а значит, оно относится к биометрическим персональным данным.

Их можно обрабатывать только с письменного согласия работника (ч. 1 ст. 11 Закона № 152-ФЗ).

Поэтому, если организация применяет пропускную систему и оформляет электронные пропуска, по которым можно установить личность, она должна заручиться письменным согласием каждого сотрудника на обработку фотографии1.

Если письменное согласие не получить, Роскомнадзор выдаст предписание (постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/2013).

За обработку биометрических персональных данных без письменного согласия работодателю как минимум сделают предупреждение или оштрафуют.

Для должностных лиц штраф может составить от 10 000 до 20 000 рублей, для организаций – от 15 000 до 75 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

Как хранить в кадровой службе документы, содержащие персональные данные

Много вопросов вызывает хранение личных документов работников в кадровой службе организации. Разберемся, какие есть ограничения и нужно ли проставлять на документах с персональными данными специальные грифы.

Пояснения. Работодатель нарушает закон, если собирает и хранит лишние данные о сотрудниках. Роскомнадзор может обязать компанию устранить нарушение, а с 1 июля 2017 года – объявить предупреждение или оштрафовать.

За это нарушение закон предусматривает наказание в виде предупреждения или штрафа. Для должностных лиц штраф может составить от 5000 до 10 000 рублей, для организаций – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Работодатель вправе собирать только те данные о сотруднике, которые нужны, чтобы исполнять трудовой договор или закон. Нельзя обрабатывать лишнюю информацию «на всякий случай» (п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ).

Установить личность соискателя при приеме на работу можно, если он предъявит паспорт (ст. 65 ТК РФ).

Чтобы заполнить титульный лист трудовой книжки или личную карточку, достаточно попросить работника показать свидетельство о заключении или расторжении брака, рождении ребенка, военный билет и т. п.

Закон не требует, чтобы работодатель оставлял копии личных документов сотрудников у себя.

Если кадровая служба хранит копии паспорта, страниц военного билета, свидетельств, то Роскомнадзор признает, что она обрабатывает избыточные персональные данные и нарушает права сотрудника.

Суды в таких спорах поддерживают надзорный орган (постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013).

Чтобы избежать претензий Роскомнадзора, уничтожьте копии паспортов и иных документов сотрудников, хранить которые в компании закон не требует. Если понадобится уточнить какие-то сведения, попросите сотрудника показать оригинал документа.

Пояснения. Проставлять на папках с документами, которые содержат персональные данные, гриф ограничения доступа к документу не обязательно. Закон не устанавливает такого требования.

Работодатель должен исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях, то есть личным делам, трудовым книжкам, приказам и прочей кадровой документации (ч. 1 ст.

9 Закона № 152-ФЗ). Конкретные меры защиты и требования к местам хранения носителей персональных данных компания определяет самостоятельно в положении о защите персональных данных (п.

13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Обычно документы на бумажных носителях хранят в сейфах или металлических несгораемых шкафах с замками либо специально оборудованных помещениях. Доступ к документам должны иметь только сотрудники, включенные в перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ.

Кого можно привлечь к ответственности за разглашение персональных данных

Все кадровики имеют дело с персональными данными. Но доступ к ним могут иметь и другие сотрудники организации. Выясним, как утвердить список таких работников и кого можно уволить за разглашение персональных данных.

Скачать и распечатать образец

Пояснения. Работодатель должен приказом утвердить перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться персональные данные2 (образец выше). Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.

В перечне нужно указать Ф.И.О. конкретных работников, а не список должностей. Если сотрудник уволится, в перечень вносят изменения.

Если перечень лиц, которые обрабатывают персональные данные, отсутствует или в нем указаны не Ф.И.О.

работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. по делу № А44-5910/2012).

Пояснения. Уборщицу нельзя уволить по инициативе работодателя за разглашение персональных данных других сотрудников, так как о размере зарплат она узнала не в связи со своими обязанностями. Функционал уборщицы не предполагает работы с персональными данными, и она не подписывает обязательство их не разглашать.

Сотрудника, который разгласил персональные данные другого работника, можно уволить по инициативе работодателя (подп. «в» п. 6 ч. первой ст. 81 ТК РФ). Но это допустимо, если одновременно выполняются два условия (п. 7 ст. 86 ТК РФ, п.

43 постановления Пленума Верховного суда РФ от 17 марта 2004 г. № 2):– такие сведения работник получил в связи с исполнением им трудовых обязанностей;

– сотрудник подписал обязательство о неразглашении персональных данных (образец ниже).

Скачать и распечатать образец

1. Если вы обрабатываете только те данные, которые нужны для исполнения трудового договора, это законно и без согласия сотрудника. Однако возможны споры о составе таких данных, поэтому безопаснее заручиться согласием сотрудника в письменном виде.

2. Не храните в кадровой службе копии паспортов и иных документов сотрудников. Чтобы уточнить какую-то информацию, просите сотрудника показать необходимый документ.

3. Утвердите перечень работников, которые обрабатывают персональные данные, и получите у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.

Источник: https://e.kdelo.ru/569455

Обработка персональных данных сотрудника — сроки и виды

Документы относящиеся к персональным данным работника
Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта или звоните по телефону
+7 (499) 350-80-69 (Москва)
+7 (812) 309-75-13 (СПб)

Это быстро и бесплатно !

Кадровики регулярно сталкиваются с персональными данными нанимаемых в компанию сотрудников и уже трудоустроенного штата. Закон предъявляет определённые требования к обработке подобной информации и её сохранению в архивах.

За нарушение норм законодательства должностное лицо может ожидать привлечение к соответствующей ответственности, именно поэтому специалисты рекомендуют тщательно ознакомиться с правилами работы с личными сведениями о гражданах.

Что относится к персональным данным работника?

Любые сведения о гражданине, имеющие к нему прямое или косвенное отношение, считаются персональными данными. Определение этого понятия представлено в 3 статье ФЗ № 152 от 2006 года 27 июля.

Таким образом, к личной информации о человеке относят:

  • адрес его проживания;
  • ФИО;
  • дату рождения;
  • семейное положение;
  • полученное образование;
  • реквизиты паспорта;
  • занимаемую должность (профессию);
  • уровень дохода;
  • наличие какой-либо собственности;
  • социальное положение в обществе;
  • и т. п.

Должностное лицо, из-за которого произошло разглашение личных сведений о сотруднике, привлекаются к административной, дисциплинарной или уголовной ответственности.

Порядок обработки персональных данных сотрудника

Под обработкой сведений о работнике понимается комплекс мероприятий, установленный на законодательном уровне и включающий в себя получение данных о гражданине, их проверку, передачу, хранение, накопление, уничтожение и другие способы применения имеющейся информации.

Эта процедура необходима в следующих случаях:

  • при найме лица на должность;
  • при продвижении служащего по карьерной лестнице;
  • при выплате сотруднику вознаграждения за труд;
  • при осуществлении контроля за выполненной работой и её качеством;
  • и т. д.

Другими словами, под обработкой понимается осуществление любых действий с личной информацией.

При осуществлении обработки необходимо соблюдать определённые требования, зафиксированные в 86 статье ТК РФ.

  • Во-первых, данная процедура осуществляется исключительно при наличии для этого оснований и только с конкретной целью.
  • Во-вторых, передача личных сведений третьим лицам без письменного разрешения самого лица недопустима.
  • В-третьих, персональную информацию необходимо получать непосредственно от самого гражданина. Запрос сведений из иных источников должен сопровождаться уведомлением сотрудника.

Кроме этого, получение специальных персональных данных (о политических взглядах, отношении к религии и т. д.) по закону не допускается, так как эта информация не должна влиять на решение руководства о найме гражданина или его дальнейшем продвижении по карьерной лестнице.

Меры защиты личных сведений о сотрудниках должны быть зафиксированы в локальных актах предприятия. Сами работники обязаны быть ознакомлены с данными документами под роспись (это могут быть инструкции, положения и т. п.).

Получать данное согласие не требуется в случаях, предусмотренных законом (например, при оформлении алиментных выплат, при передаче сведений третьим лицам, если речь идёт о сохранении жизни или здоровья гражданина и т. д.).

Виды персональных данных работника

Выделяют два типа документации, формирующей личные сведения о гражданине. К первой разновидности относятся бумаги, на основании которых происходит найм сотрудника на ту или иную должность, то есть паспорт лица, СНИЛС, военный билет и т. д.

Второй тип документации формируется непосредственно руководителем работника (например, приказ о назначении на должность, расчётные документы и т. д.).

На основании этих бумаг выделяют различные виды персональных данных, ознакомиться с которыми можно с помощью приведённой ниже таблицы.

Способ классификацииРазновидности данныхХарактеристика

По направлению

Обычные (иначе общие)Большая часть личной информации о человеке (его фамилия, имя, отчество, гражданство, полученное образование, место работы и т. д.).

Специальные

Особая категория сведений о человеке (например, его политические убеждения, принадлежность к той или иной религии, состояние здоровья, национальность, наличие или отсутствие судимости, семейная и личная жизнь и т. д.).

По степени доступности данных

Конфиденциальные

Информация, не подлежащая разглашению по закону и при отсутствии соответствующего согласия самого гражданина (например, результаты медицинского осмотра).

Общедоступные

Сведения о человеке, находящиеся в общем доступе в соответствии с нормами российского законодательства или представленные для ознакомления третьих лиц в связи с письменным согласием самого гражданина.

По содержанию

Биометрические

Сведения, способные охарактеризовать человека для определения его личности (то есть его физиологические особенности). К таким данным относятся отпечатки пальцев, почерк, ДНК и т. п.
Не биометрическиеПрочие данные, не относящиеся к биометрическим.

По причине появления (по документам)

Появившиеся до начала трудовой активности

Сведения, содержащиеся в паспорте гражданина, его свидетельстве о рождении, военном билете, документах о полученном образовании, СНИЛС и т. д.
Появившиеся в результате трудовой деятельностиК такой информации относятся записи о приёме лица на работу, его переводе в другое отделение, повышении, увольнении, предоставлении отпуска или больничного, уровне получаемого дохода, поощрениях и т. д.

Кроме этого, к персональным сведениям относится и информация о родственниках гражданина, например, о составе его семьи, месте проживании родных и т. д. Семейное положение – также конфиденциальные данные (факт нахождения в браке, наличие детей и их возраст, состояние здоровья членов семьи, наличие иждивенцев и т. п.).

Срок хранения персональных данных сотрудника

Сведения о работнике должны быть приобщены к его личному делу. В соответствии с 87 статьёй ТК РФ, руководитель самостоятельно определяет порядок хранения и применения данных о сотруднике, зафиксированный в локальных нормативных актах предприятия. При этом порядок должен отвечать требованиям, установленным российским законодательством.

В соответствии с 22.1 статьёй ФЗ № 125 от 2004 года 22 октября, документация о самом гражданине (например, его заявление о согласии на обработку данных, копии приказов и т. д.) должна храниться в течение:

  • 75 лет, если бумаги были созданы до 2003 года;
  • 50 лет, если документы были оформлены позднее этого периода.

При защите конфиденциальности информации личного характера важно уделить внимание не только бумажной документации, но и сведениям на электронных носителях.

Порядок их хранения аналогичен описанному выше.  Электронные документы предписано сохранять в течение как минимум 5 лет (по налоговому учёту бумаги не уничтожаются на протяжении 4 лет).

Особенности хранения

Документация на бумажном носителе подлежит хранению в специальных сейфах (таким образом бумаги сохраняются от случайной порчи или потери).

В электронном виде файлы с личными сведениями хранятся в персональном компьютере сотрудника, уполномоченного заниматься обработкой данных, или руководителя предприятия (т. е. у генерального директора).

После увольнения сотрудника его личное дело продолжает находиться у кадровиков до окончания года (оперативное хранение может продолжаться в течение 1–3 лет).

После этого кадровая служба должна заняться архивно-технической обработкой и направить личные дела бывших работников в архив предприятия. По общим правилам отсчёт периода хранения начинается с первого января года, в котором документ был передан в архив.

Не нашли ответа на свой вопрос?
Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас или заполните форму онлайн:

+7 (499) 350-80-69 (Москва)

+7 (812) 309-75-13 (Санкт-Петербург)

Это быстро и бесплатно !

Источник: https://urmozg.ru/trudovoe-pravo/obrabotka-personalnyh-dannyh-sotrudnika/

Сила закона