Работодатель обязан обеспечить за свой счет защиту персональных данных (ПД) работника. Это установлено ст. 86 ТК РФ. Из статьи узнаете, что относится к персональным данным; как обеспечить их защиту в организации; когда нужно получать согласие работника на обработку его личной информации.
Бланк акта оценки возможного вреда субъектам персональных данных
Перечень обязанностей организации по работе с персданными
Таблица новых штрафов за нарушения в работе с персданными |
Что такое персональные данные, подлежащие защите
К персональным данным (ПД) относится любая личная информация, которая прямо или косвенно позволяет идентифицировать конкретного человека. Это следует из статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Конечного перечня ПД не существует, ведь некоторые сведения сами по себе не будут персональными данными, а в совокупности с другими уже позволяют определить отдельного человека.
Например, Ф.И.О. могут совпадать у нескольких людей, а вот в сочетании с датой рождения – это персданные. Но личную информацию можно сгруппировать по категориям, в зависимости от состава и предъявляемых требований к защите персональных данных.
Категории персональных данных
Категория |
Примеры |
Особенности защиты персональных данных |
Общие |
|
— |
Специальные |
|
Обработка только с письменного согласия субъекта ПД. Есть ограничения по ст. 10 №152-ФЗ |
Биометрические |
|
Обработка только с письменного согласия субъекта ПД. БД для аутентификации гражданина получают из Единой биометрической системы. Есть ограничения по ст. 11 №152-ФЗ |
Иные |
|
— |
Примечание. Роскомнадзор в письме от 07.02.2014 №08КМ-368 указал, что сведения о зарплате работника – это тоже персональные данные, подлежащие защите.
Обработка ПД – это любые действия с личной информацией о гражданине, включая сбор, запись, накопление, систематизацию, хранение, передачу третьим лицам и распространение, уничтожение. Обрабатывать ПД можно вручную – без использования средств автоматизации, или с применением цифровых технологий – в информационных системах (например, ЭДО).
Какие документы содержат персональные данные работника
Первоначально кадровик может сталкиваться с персданными конкретного человека еще на этапе рассмотрения резюме и собеседования.
Персональные данные работника содержатся:
- в анкетах и личных карточках;
- копиях паспорта, ИНН, СНИЛС, дипломов;
- протоколах проверки знаний;
- удостоверениях о повышении квалификации;
- кадровых приказах;
- штатном расписании;
- трудовом договоре;
- трудовой книжке;
- документах воинского учета;
- списках застрахованных лиц;
- сведениях о прохождении медосмотра;
- пропусках на работу и т. п.
Этот список не окончательный. У каждого работодателя должен быть свой утвержденный Перечень ПД, с указанием категории и целей обработки, способов хранения, уничтожения – п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ.
Работодатель как оператор ПД не имеет права собирать избыточную личную информацию о работнике – ч. 5 ст. 5 Закона № 152-ФЗ. По каждому виду персональных данных готовьтесь обосновать, для каких целей вам нужна эта информация. Например, для составления отчетности, оформления трудовых отношений и т. д. Собирать ПД работника можно только для выполнения требований законодательства или условий трудового договора.
Важно! Работодатели часто ведут корпоративные справочники со списком сотрудников, в том числе на сайте компании. Они могут включать в них Ф.И.О. работника, должность, номер телефона и e-mail. Делать это можно только с письменного согласия сотрудника – ст. 8 Закона № 152-ФЗ. |
Какие есть типы угроз персональных данных и уровни защищенности
Если кадровик работает только с бумажными документами, то организовать защиту персональных данных работников проще, чем при использовании информационных систем. Достаточно выполнять требования Постановления Правительства РФ от 15.09.2008 № 687. Например:
- не включать в один документ ПД с несовместимыми целями обработки – например, список работников на медосмотр и выписку из штатного расписания с указанием размеров зарплат;
- определить место хранения бумажных документов;
- использовать сейфы, запирающиеся шкафы и помещения, чтобы исключить доступ к ПД посторонним;
- назначить ответственного за обработку ПД;
- не допускать копирования документов с персональными данными работников.
При автоматизации обработки ПД возрастает риск утечки личной информации из-за несанкционированного доступа. К мерам по защите персональных данных работника в информационных системах (ИС) есть отдельные требования по Постановлению Правительства РФ от 01.11.2012 № 1119.
В документе выделено три типа угроз безопасности персональных данных в ИС:
Первый тип. В системном программном обеспечении (ПО) содержатся недокументированные (недекларированные) возможности.
Пример
В июне 2023 года Лаборатория Касперского сообщила о наличии шпионского модуля в iPhone, проникающего через уязвимости в операционной системе iOS. Вредоносная программа передает на удаленные серверы частную информацию владельца зараженного устройства: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей. Атаке подверглись российские руководители различного уровня. |
Второй тип. Уязвимости или скрытые возможности есть в прикладном программном обеспечении. Например, в программе для кадрового учета.
Третий тип. Угрозы безопасности ПД не связаны с уязвимостями в системном и прикладном ПО.
В зависимости от типа угроз и количества субъектов ПД, чьи данные обрабатываются в ИС, выделяют четыре уровня защиты персональных данных: от 1-го — самого высокого, до 4-го. Требования к содержанию мер безопасности также приведены в Постановлении № 1119.
Обратите внимание! Для 1-го уровня защищенности оператор ПД. в числе прочих мер, создает отдельное структурное подразделение по обеспечению безопасности персональных данных в ИС или поручает эту функцию имеющемуся СП. |
Как организовать защиту персональных данных работника
Приведем примерный набор необходимых организационных действий работодателя в соответствии с Трудовым кодексом и Законом № 152-ФЗ. Учитывайте, что некоторые мероприятия можно проводить параллельно, но их все нужно выполнить.
1. Уведомить Роскомнадзор об обработке персональных данных. Еще до начала действий с ПД работников работодатель должен зарегистрироваться в Реестре операторов ПД в соответствии со ст. 22 Закона № 152-ФЗ. Это стало обязательным с 1 сентября 2022 года для тех, кто не обрабатывает личную информацию исключительно без средств автоматизации.
Работодатель подает уведомление в Роскомнадзор одним из трех способов:
- на бумажном носителе по почте;
- в электронном виде на сайте Роскомнадзора – нужна УКЭП;
- через личный кабинет на Госуслугах.
Если в будущем какие-то данные в Реестре операторов изменятся, то об этом тоже нужно сообщить в Роскомнадзор. Формы уведомлений есть на сайте Роскомнадзора. Сообщить об изменениях необходимо до 15-го числа следующего месяца.
2. Назначить ответственного за организацию обработки ПД. По закону это обязательно только для юридических лиц. Обязательно включите обязанности по защите ПД в трудовой договор или должностную инструкцию назначенного работника. Иначе вы не сможете привлечь его к дисциплинарной ответственности за нарушения.
Проведите обучение ответственного работника, чтобы он не допускал нарушений в работе с личной информацией сотрудников. В ст. 18.1 Закона №152-ФЗ есть требование об ознакомлении такого сотрудника с нормативными документами и локальными актами компании в области защиты персональных данных или специальной подготовке.
3. Разработать локальные акты по вопросам защиты ПД – ст. 18.1 Закона №152-ФЗ, ст. 86 ТК РФ:
- Политику оператора в отношении обработки персональных данных;
- Положение о защите персональных данных работников – документ принимают с учетом мнения профсоюза;
- локальный акт (порядок, положение, регламент) с описанием процедур по предотвращению и выявлению нарушений в работе с ПД, устранению последствий таких нарушений.
4. Провести оценку вреда субъектам ПД за нарушения в работе с их личной информацией. С 1 марта 2023 года действует Приказ Роскомнадзора от 27.10.2022 № 178. В соответствии с ним и требованиями ст. 18.1 Закона № 152-ФЗ каждый оператор ПД обязан оформить Акт оценки вреда, который может быть причинен гражданину при нарушениях в обработке его личных данных.
Документ понадобится не только при проверках Роскомнадзора. Работник может обратиться в суд, если сочтет, что работодатель допускает нарушения в работе с его ПД. В этом случае для оценки морального вреда также пригодится Акт.
Скачать акт оценки вреда можно здесь
5. Принять меры по защите персональных данных. Каждый работодатель определяет свой набор необходимых мероприятий. Это может быть:
- ограничение физического доступа к кадровым документам всем, кроме назначенных приказом ответственных лиц;
- подписание соглашений о неразглашении с работниками, которые имеют доступ к чужим ПД;
- использование защищенного ПО;
- проведение внутренних аудитов работы с ПД на регулярной основе и другое.
Конкретные мероприятия описывают в локальных актах и приказах. В них же устанавливают порядок сбора, обработки, хранения, уничтожения и других действий с ПД работников.
О том, как обрабатывать персональные данные работника без нарушений конфиденциальности, узнайте на программе повышения квалификации «Персональные данные работников: правила для кадровой службы». Вы получите новые навыки, которые помогут работать без штрафов и наказаний. |
Как обеспечить право работника на доступ к своим персональным данным
Работодатель должен предоставить сотруднику полный доступ к любым записям, содержащим его персданные (ст. 89 ТК РФ). Это означает, что по требованию работника кадровик или другой ответственный сотрудник обязаны выдать ему копии кадровых приказов, справки о заработной плате и т. д. Ориентируйтесь на сроки в ст. 62 ТК РФ – три рабочих дня.
При изготовлении копий не забывайте про права других работников на конфиденциальность их данных. Поэтому по запросу выдавайте сотруднику только касающуюся лично его информацию. Например, выписку из кадрового приказа или штатного расписания.
Какая ответственность за нарушения в работе с ПД
Административная ответственность работодателя и ответственных должностных лиц установлена ст. 13.11 КоАП РФ. По ней есть разные санкции, в зависимости от нарушения. Например, за обработку ПД без письменного согласия, если оно нужно, компания заплатит штраф от 300 000 до 700 000 рублей.
Работники, ответственные за обработку персональных данных, несут дисциплинарную, материальную, гражданско-правовую и уголовную ответственность за нарушения при работе с личными данными работников (ст. 90 ТК РФ).