Подписывайтесь на новости
Подписаться
ОК
Присоединяйтесь к нам в соц. сетях:
С вами с 2014 года
Новости Статьи Бланки Подборки Конструкторы Калькуляторы Календари Тесты Форум
Поиск
Услуги Новости Статьи Бланки Подборки Конструкторы Калькуляторы Календари Тесты Форум
Важное за неделю Изменения-2025 Ставка ЦБ РФ Калькулятор НДФЛ Конструктор УПД Калькулятор стажа работы по трудовой книжке для больничного

Как защитить персональные данные работника

Защита персональных данных сотрудников – одна из обязанностей работодателя. Компания должна обеспечить законный сбор информации, ее обработку и безопасное хранение. Рассказываем, как работодателю организовать правильное обращение с персональными данными работников.
Вам помогут документы и бланки:
1. Положение о защите персональных данных работников + ВИДЕО 2. Обязательство о неразглашении персональных данных работников + ВИДЕО 3. Должностная инструкция ответственного за обработку персональных данных + ВИДЕО 4. Соглашение о неразглашении персональных данных между юридическими лицами 5. Положение о порядке уничтожения персональных данных

Общие положения о защите персональных данных работника

Защита персональных данных работника – это комплекс мероприятий, направленных на безопасное хранение личной информации сотрудника, полученной при трудоустройстве или исполнении им трудовых обязанностей.

Работодатель является оператором персональных данных работника. Так называют государственный, муниципальный орган, юридическое лицо или ИП, которое получает, обрабатывает и хранит личную информацию сотрудников, определяет состав сведений, цели их сбора и перечень мероприятий, направленных на обработку (ст. 3 ФЗ-152 от 27.07.2006 г.).

Соблюдение законности сбора, обработки и хранения личной информации работников контролирует орган по защите прав субъектов персональных данных – Роскомнадзор:

  • введет реестр всех операторов, осуществляющих обработку сведений;
  • осуществляет контроль над соблюдением требований законодательства;
  • реагирует на обращения, жалобы субъектов персональных данных;
  • проводит проверку по поступившим сообщениям;
  • представляет интересы лиц, чьи права нарушены, в суде.

В целях обеспечения соблюдения работодателем ФЗ-152 уполномоченный орган по защите персональных данных проводит плановые и внеплановые проверки. Плановые мероприятия осуществляются по графику, внеплановые – при возникновении необходимости, например, в случае поступления от субъекта сообщения о незаконном раскрытии персональных данных.

Как защитить персональные данные: пошаговая инструкция

Работодатель, как оператор персональных данных, не должен раскрывать сведения о работниках третьим лицам и распространять их без согласия на то субъекта информации (ст. 7 ФЗ-152 от 27.07.2006 г). Он обязан обеспечить безопасность сбора, обработки и хранения, а также определить мероприятия по защите персональных данных (ст. 18.1 ФЗ-152 от 27.07.2006 г). В частности, законодательством предусмотрены следующие меры по обеспечению сохранности личной информации граждан:

  • назначение ответственного за безопасность персональных данных лица;
  • разработка локальной документации, определяющей порядок сбора, обработки и хранения рассматриваемых сведений;
  • применение регламентированных законом мер, направленных на безопасность персональных данных;
  • оценка возможного вреда, который возникнет в случае нарушения работодателем ФЗ-152;
  • ознакомление сотрудников, осуществляющих сбор, обработку, хранение сведений с нормами законодательства и их обучение (при необходимости).

Работодатель обязан обеспечить безопасность персональных данных работников, защитить их от несанкционированного доступа к ним, уничтожения, изменения, копирования, блокировки, чего достигают посредством выполнения комплекса мероприятий.

Разработка локальной документации о персональных данных сотрудников

Средства защиты персональных данных включают в себя не только технические меры, но и организационные. Первое, что обязан сделать работодатель – разработать положение о работе с личной информацией сотрудников. Отсутствие такого локального нормативно-правового акта приравнивается к неисполнению законодательства, содержащего нормы трудового права, что грозит административной ответственностью.

Единого образца положения о работе с персональными данными работников законодательством не установлено. Несмотря на это, в него нужно включить следующие сведения:

  • порядок и правила сбора, обработки, хранения и передачи персональных данных;
  • список документов, где содержится личная информация сотрудников;
  • перечень лиц, имеющих доступ к таким сведениям;
  • ответственных за безопасность персданных4
  • ответственность за раскрытие сведений и несоблюдение мер, направленных на обеспечение безопасности.

Положение подписывает руководитель предприятия. С его содержанием знакомят всех сотрудников компании под личную подпись. Отсутствие листа ознакомления, ровно так же, как и положения о сборе, обработке, хранении персданных является поводом для привлечения работодателя к административной ответственности.

Назначение лица, ответственного за обработку персональных данных работников

Правовая защита персональных данных осуществляется ответственным за это лицом. Его назначает руководитель организации из числа сотрудников. Как показывает практика, чаще всего им становится кто-то из топ-менеджеров, например:

  • начальник службы безопасности;
  • руководитель кадрового отдела;
  • старший менеджер ИТ-отдела;
  • заместитель генерального директора и др.

Кто именно из сотрудников будет отвечать за безопасность персональных данных большого значения не имеет. Такие функции может выполнять непосредственно руководитель организации. Например, индивидуальные предприниматели зачастую самостоятельно обеспечивает надлежащий сбор, обработку, хранение и раскрытие личной информации о сотрудниках. Главное – назначить ответственное лицо соответствующим приказом.

Определение доступа к персональным данным

Работодатель обязан использовать все доступные ему методы защиты персональных данных. По долгу службы некоторые сотрудники должны иметь постоянный доступ к личным сведениям работников. Например, кадровик оформляет кадровые документы, бухгалтер – назначает выплаты, в том числе в связи с рождением ребенка, болезнью, отпуском, секретарь – покупает билеты, бронирует отель и т.д. Для выполнения таких функций сотруднику нужны персональные данные других трудящихся. Чтобы каждый раз не брать согласие на получение и обработку такой информации, важно определить круг лиц, кто имеет доступ к ней по умолчанию.

Сотрудников, обрабатывающих и использующих персональные данные работников, наделяют разным уровнем доступа к таким сведениям, в зависимости от должности и полномочий.

Важно! Лица, получившие доступ к персональным данным по долгу службы подписывают обязательство о неразглашении, за несоблюдение которого предусмотрена ответственность.

Узнайте, как правильно удалить трудовой договор уволенного работника с компьютера сотрудника отдела кадров, в системе КонсультантПлюс. Доступ в КонсультантПлюс является платным, стоимость его можно узнать здесь. Бесплатный пробный доступ на 2 дня можно подключить по ссылке.

Обеспечение безопасного хранения персональных данных работников

Работодатель обязан предпринять меры по защите персональных данных. По закону, хранить личные сведения сотрудников нужно до 75 лет (точный срок зависит от типа документов). Все это время компания должна обеспечивать сохранность информации, не допускать несанкционированного доступа к ней, копирования, изменения, блокирования данных и т.д.

Категория

Средства защиты персданных

Аппаратные

межсетевые экраны, генераторы шума, аппаратные хранилища паролей

Средства аутентификации

Пароли

Физические

Сейфы, замки, пропускная система, видеонаблюдение

Криптографические

Шифрование данных

DLP-системы

Специализированное ПО, предотвращающее утечку информации и несанкционированный доступ к ней

Программные

Антивирусы, ПО, обнаруживающие несанкционированный доступ

 

Хранить документы, содержащие персданные, можно в электронной форме при помощи использования специализированных автоматизированных систем или в бумажной.

Ограничение доступа к данным работников, хранящимся на бумаге

Если компания применяет неавтоматизированную систему обработки, то, в целях обеспечения безопасности руководство обязано:

  • определить надежные места хранения документов, например, сейф, архив;
  • обеспечить закрытый доступ к материальным носителям;
  • определить круг лиц, кто имеет доступ к закрытым данным;
  • защитить помещение сигнализацией или другими средствами.

Не менее важно определить перечень документов, содержащих персональные данные сотрудников, которые подлежат охране. По закону, к ним относят:

  • копии паспортов, СНИЛС, ИНН, свидетельства о браке, разводе, рождения детей;
  • личные карточки, дела;
  • анкеты, заполняемые соискателями;
  • трудовые книжки, выписки из них, другие сведения о стаже, предыдущем месте работы, образовании, квалификации и пр.;
  • копия военного билета и другие документы воинского учета, хранящиеся в организации;
  • трудовой договор, дополнительные соглашения к нему;
  • приказы о назначении на должность, переводе;
  • внутренняя документация, где содержится личная информация о работниках.

Ограничение доступа к данным работников в электронной форме

Неавтоматизированная система обработки персональных данных уходит в далекое прошлое. Большинство компаний использует автоматизированные средства. Работодатель обязан обеспечить безопасность таких сведений посредством выполнения законодательных рекомендаций. Согласно Приказу №21 ФСТЭК, защита персональных данных осуществляется посредством выполнения следующих мероприятий:

  • ограничения доступа к электронным базам, определением круга лиц, имеющих возможность пользоваться такими системами;
  • применения двухфакторной аутентификации;
  • регулярной смены паролей.

Ключи для доступа к электронным базам с персданными должны выдаваться лично в руки ответственным лицам. Их нельзя пересылать по электронной почте, через мессенджеры, называть по телефону, и тем более, передавать через других работников.

Получение согласия на обработку персональных данных

Каждый работник имеет право на защиту персональных данных и не обязан разглашать личную информацию о себе, если считает нужным. Но для трудоустройства без предоставления таких сведений не обойтись. Во-первых, соискатель заполняет анкету, во-вторых, подает работодателю паспорт, трудовую книжку, военный билет, ИНН, СНИЛС, диплом, подтверждение достаточной квалификации и другие документы. Несмотря на то, что по закону для сбора и обработки такой информации согласие от соискателя не требуется, многие компании берут его. Фактически, человек сам разрешает собирать и обрабатывать персданные, что подтверждено документально. Лучше перестраховаться, чем в будущем получить штраф от контролирующего органа.

Если работодатель планирует распространять персональные данные сотрудника, например, публиковать их на официальном сайте, на странице в социальной сети, на общедоступных стендах, журналах и т.д., то работник должен дать на это соответствующее согласие. Без такого документа нельзя даже напечатать визитку с номером телефона и именем работника.

Рекомендации Роскомнадзора по защите персональных данных

После вступления в силу поправок в Федеральный закон «О персональных данных» Роскомнадзор разработал и опубликовал рекомендации по применению норм законодательства. Обратите внимание на них.

  1. Назначьте ответственное лицо. Четко определите перечень полномочий, касающихся сбору, обработке, хранению перснаднных.
  2. Сократите объем собираемой личной информации. Например, для продажи товаров достаточно ФИО, адреса доставки и номера телефона покупателя. Чем меньше сведений вы получите, тем легче их хранить.
  3. Сгруппируйте персданные по категориям. К примеру, разделите сведения о клиентах, работниках и соискателях.
  4. Не собирайте личные данные, если в этом нет необходимости, например, не создавайте клиентский профиль, когда он нужен для единичной продажи. Удаляйте персональные сведения после их использования.
  5. Используйте только собственную автоматизированную систему обработки персданных.
  6. При обнаружении признаков утечки информации незамедлительно уведомляйте об инциденте Роскомнадзор.

Не забывайте о применении физических мер защиты персданных. Закрывайте доступ к помещению, где находятся носители информации, оборудуйте его видеонаблюдением.

Уведомление Роскомнадзора об обработке персональных данных

Для обеспечения защиты персональных данных в организации законодатель установил обязанность для работодателей уведомлять Роскомнадзор о намерении обрабатывать личную информацию. Такое извещение составляют по унифицированной форме и направляют в ведомство:

  • на бумажном носителе Почтой России заказным письмом с уведомлением о вручении и описью вложений (желательно);
  • онлайн, на официальном сайте Роскомнадзора;
  • удаленно, через Госуслуги, если у компании есть идентифицированный аккаунт.

Обратите внимание, что работодатель обязан уведомить Роскомнадзор не только об обработке персональных данных, но и о их распространении. Например, это нужно, когда руководство планирует разместить фото сотрудника на «Доске Почета» в качестве работника месяца.

Определение уровня защищенности персональных данных

Работодатель обязан не только обеспечить надлежащую защиту, но и определить уровни защищенности персональных данных

Определить уровни защищенности можно онлайн, на официальном сайте ФСТЭК при помощи специального калькулятора.

Уровни защиты персональных данных регламентированы Постановлением Правительства РФ №1119 от 01.11.2012 г. Они зависят от тип угроз и численности сотрудников.

Что делать в случае утечки персональных данных сотрудника

Работодатель обязан немедленно уведомить Роскомнадзор о произошедшем несанкционированном доступе к персональным данным сотрудников и утечке информации. Далее он должен организовать внутреннюю проверку и установить:

  • причины инцидента;
  • виновных лиц;
  • последствия.

Отчет о проведенном внутреннем расследовании направляют в Роскомнадзор в течение 3-х дней с даты выявления инцидента.

Ответственность за несоблюдение требований по защите персональных данных

За невыполнение или ненадлежащее выполнение требований к защите персональных данных работодателя могут привлечь к административной ответственности по ст.13.11 КоАП РФ.

Правонарушение

Штраф для организаций, в рублях

Обработка персданных в случаях, не предусмотренных законодательством или в несоответствующих целях

От 60 000 до 100 000

Правонарушение совершено повторно:

От 100 000 до 300 000

Обработка персданных без согласия субъекта, когда оно нужно

От 300 000 до 700 000

Правонарушение совершено повторно:

От 1 000 000 до 1 500 000

Невыполнение требований субъекта об уточнении персданных, уничтожении, блокировке

От 50 000 до 90 000

Правонарушение совершено повторно:

От 300 000 до 500 000

Невыполнение требований об обеспечении безопасность персданных при использовании неавтоматизированной системы, если это привело к утечке

От 50 000 до 100 000

За незаконный сбор, передачу, использование персональных данных предусмотрена уголовная ответственность в соответствии со ст.272.1 УК РФ.

Итоги

Работодатель является оператором персональных данных, в связи с чем он обязан обеспечить сохранность полученной от сотрудников личной информации. Способы и меры защиты персональных данных установлены законодательством. За несоблюдение регламентированных Постановлением Правительства требований и нарушение порядка сбора, обработки, хранения личной информации субъекта предусмотрена ответственность.

Добавить в закладки
Советуем прочитать
Какая информация не относится к персональным даннымКак зарегистрироваться в Роскомнадзоре как оператор персональных данныхКто относится к субъектам персональных данных
Последнее с форума
Разные ПК для разных юрлиц для отчетности в ФНС Что значит пароль к сертификату ЭП? Как комиссионеру отразить комиссию банка без НДСв отчете комитенту в 1с 8.3
Вопросы по этой теме
Если вы не нашли ответ, то задайте вопрос нашему профессиональному сообществу на форуме.
ФИО — это персональные данные или нет?
ФИО - это персональные данные или нет? Такой вопрос может возникнуть в связи с оформлением документов или передачей личной информации для определенного использования. С одной...
Посмотреть полный ответ
Является ли номер телефона персональными данными?
Является ли номер телефона персональными данными? Такой вопрос иногда возникает, например, при составлении клиентской базы или ведении личных карт сотрудников. При ответе на этот...
Посмотреть полный ответ
Является ли электронная почта персональными данными?
Является ли электронная почта персональными данными? Такой вопрос иногда встает перед администраторами интернет-ресурсов и специалистами по цифровым технологиям. Ответ на него...
Посмотреть полный ответ
Что относится к специальным категориям персональных данных?
Специальные категории персональных данных являются отдельной группой идентификационной информации, выделяемой для защиты прав и интересов граждан. Сведения, входящие в эту группу,...
Посмотреть полный ответ
Неавтоматизированная обработка персональных данных - что это?
Неавтоматизированная обработка персональных данных - это обработка, которая выполняется непосредственно при участии человека. Особенности действий с ПДн, осуществляемых в ручном...
Посмотреть полный ответ
Ваш вопрос
Отправить
Есть вопросы по налогам? Обсудите их с экспертами на форуме НН