Персональные данные сотрудников

14.12.2023 распечатать

Далеко не все компании уделяют должное внимание сохранности персональных данных своих сотрудников. Между тем санкции за такие нарушения все растут. Разберемся, что же такое персональные данные, что является обработкой данных и как следует правильно оформлять хранение и обработку персданных.

Что такое персональные данные

Для начала разберемся, что такое персональные данные и что к ним относятся.

Согласно 152- ФЗ, персональные данные - это любая информация, которая прямо или косвенно относится определенному или определяемому физическому лицу (субъекту персональных данных).

К персональным данным относятся:

  • фамилия, имя, отчество;

  • место, дата рождения;

  • место постоянной или временной регистрации;

  • фотография или видеозапись человека, позволяющие идентифицировать человека;

  • сведения о детях, родственниках, семейном положении;

  • сведения о заработной плате, доходах;

  • оценка навыков, личностных качеств;

  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);

  • информация о судимостях, или их отсутствии;

  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;

  • паспортные данные, СНИЛС, ИНН;

  • биометрические данные.

Это открытый перечень данных, который постоянно дополняется.

Сотрудники кадровых отделов постоянно работают с персональными данными сотрудников компании: получают, обрабатывают, хранят и передают сведения. Важно, чтобы сотрудники, работающие с персональными данными, знали правила обращения с персональными сведениями, и четко им следовали. Так как персональные данные сотрудников – это строго конфиденциальная информация. Это значит, что такие данные нельзя разглашать без письменного согласия сотрудников.

«Обработкой» данных считается любое взаимодействие с персональными данными.

Обращаем внимание, что незаконно требовать с сотрудника избыточную информацию.

По закону оператор организация вправе собирать данные в соответствии с целями их обработки.

Категории персональных данных

Согласно Роскомнадзору, все персональные данные делятся на три группы:

Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это Ф.И.О., дата рождения, адрес, номер телефона, семейное положение, прежнее место работы и т.д.

Специальная категория —это информация о расе, нации, политические взгляды, религия, состояние здоровья, интимная жизнь.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность.

Какие документы нужны для работы с персональными данными

Для того, чтобы обезопасить себя во время проверки сохранности персональных данных, в компании должны быть следующие документы, которые можно будет предъявить по требованию проверяющих:

  • положение о персональных данных;

  • приказ о назначении ответственных за работу с персональными данными;

  • приказ о назначении ответственных за обеспечение безопасности персональных данных;

  • заявления работников о согласии на обработку персональных данных.

Как правильно хранить и использовать персональные данные о сотрудниках

Согласно статье 88 Трудового кодекса при передаче персональных данных сотрудников, работодатель обязан:

  • не сообщать персональные данные работника третьей стороне без письменного согласия самого работника. Исключением в данном случае является ситуации, когда жизни и здоровью сотрудника что-то угрожает:

  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

  • предупредить сотрудников, которые работают с персональными данными, что использовать такие данные можно лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Такие сотрудники обязаны соблюдать режим конфиденциальности;

  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

  • нельзя заращивать информацию о состоянии здоровья работника. Исключение, если такая информация необходима, чтобы понять, справится ли сотрудник со своей трудовой функцией.

Работодатель, при организации хранения данных, обязан защитить персональные данные от несанкционированного доступа третьих лиц, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Следовательно, работодателю необходимо обеспечить правовые, организационные и технические средства защиты, такие как: наличие сейфов с кодами доступа (и/или шкафов, запирающихся на замок, и/или отдельных помещений, закрывающихся на ключ или соответствующий код – для персональных данных, обрабатываемых без использования средств автоматизации). Информация о кодах или доступ к ключам должен быть только у допущенных к работе с персональными данными лиц.

В локальных актах организации должны быть приписаны правила защиты личных сведений о сотрудниках. Все сотрудники организации обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными.

Обращаем внимание, хранить персональные данные следует в российских базах данных.

Уведомление об обработке персональных данных

Уведомление об обработке персональных данных может быть, как на бумажном носителе, так и на электронном. Такое уведомление должно содержать:

  • Ф.И.О. субъекта;

  • контактная информация;

  • сведения об операторе (организации, физлице, ИП);

  • сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;

  • цель обработки персональных данных;

  • категории и перечень персональных данных, на обработку которых дано согласие;

  • категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;

  • условия передачи полученных персональных данных;

  • срок действия согласия на обработку.

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных.

Уничтожение персональных данных

Уничтожение персональных данных — это действия, по итогам которых данные нельзя восстановить, в том числе уничтожение носителей.

Когда компания обязана уничтожить персональные данные:

  • обработали данные неправомерно;

  • достигли целей, ради которых данные были собраны и обработаны;

  • владелец данных требует уничтожить их;

  • владелец данных отзывает согласие на обработку данных.

Уничтожение персональных данных осуществляется по определенному алгоритму действий. Всего три последовательных этапа:

  • издание приказа об уничтожении персональных данных и создании комиссии;

  • физическое уничтожение персональных данных;

  • составление акта об уничтожении.

Порядок уничтожения персональных данных должен быть описан в локальных нормативных актах компании. В нем указывают, в каких случаях компания уничтожает личные данные и способы уничтожения.

В состав комиссии по уничтожению персональных данных включают работника, ответственного в компании за работу с персданными. Комиссия должна составить перечень документов, подлежащих уничтожению.

Как ознакомить сотрудника об обработке персональных данных

Ознакомить потенциального сотрудника с Положением об обработке персональных данных необходимо до подписания трудового договора. Подтвердить, что работник прочитал Положение, можно его подписью:

  • в тексте трудового договора;

  • в листе ознакомления с Положением о персональных данных;

  • в журнале ознакомления с локальными актами.

Положение о персональных данных – это локальный нормативный акт, который обязательно должен быть во всех организации. Иначе компанию могут привлечь к административной ответственности.

О работе с данными на входе в предприятие

Сегодня почти на каждом предприятии существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера. Такие действия также являются обработкой персональных данных пришедшего на предприятие, внося соответствующею информацию в журнал учета посетителей. Этот процесс необходимо также легализовать, и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем нормативном акте компании. Например, Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.


Выбор читателей

Составьте правильно и проверьте свой РСВ за 9 месяцев вместе с бератором.
Регистрируйтесь бесплатно.