Защита персональных данных кто ответственный. Персональные данные: как работать по закону? Защита персональный данных в организации

Защита персональных данных сотрудников организации

Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В контексте трудовых отношений персональные данные - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 ТК РФ).
В соответствии со ст.3 Федерального закона №152-Ф3 (2007г.) "О защите персональных данных", к персональным данным относятся:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование;
- профессия;
- доходы;
- другая информация.
Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.
ДОКУМЕНТЫ, УСТАНАВЛИВАЮЩИЕ ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
Эти документы - новшество ТК РФ. Если ранее за отсутствие таких локальных нормативных актов не наказывали, то статьей 90 ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.
Поскольку ТК РФ говорит о документах, устанавливающих порядок обработки персональных данных во множественном числе, то таких документов должно быть как минимум два:
- Положение о защите персональных данных работников (утверждается и вводится в действие приказом руководителя организации)
- Обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным (сотрудниками отдела кадров, бухгалтерии, службы охраны и др.).
Проверив наличие документов по защите персональных данных работников, государственный инспектор по труду поинтересуется, как в организации собираются данные о работниках (насколько законно). По общему правилу всю информацию о работнике можно узнать только у него самого. Если приходится обращаться в другие организации, даже для того, чтобы просто поинтересоваться, работал ли там человек, не говоря уже о получении, о нем каких-то оценочных данных, необходимо получить письменное согласие работника.
В связи с этим кадровики идут на хитрость. При поступлении на работу работник заполняет анкету, содержащую пункт следующего содержания: "не возражаю против получения данных обо мне в...", а затем сам вписывает те организации, в которые работодатель может обратиться за получением сведений о нем. Иногда в анкете указывается отдельной строчкой: "Не возражаю против проверки представленных данных".
Будьте очень осторожны, если у вас спрашивают персональные сведения о работнике, который когда-то у вас работал. Уже имеются случаи, когда работники подают в суд за разглашение их персональных данных. Ни в коем случае нельзя давать подобную информацию по телефону. Обязательно попросите заявление о передаче данных о работнике от самого работника или запрос от работодателя с приложением письменного согласия работника. Если персональные данные о работнике требуют сотрудники милиции или других контролирующих организаций попросите письменный запрос, а если они пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.
ТК РФ требует знакомить работников под расписку с документами организации, устанавливающими порядок обработки персональных данных работников. Кто разрабатывает эти документы и как они должны называться?
С вступлением в силу ТК. РФ перед работниками кадровых служб была поставлена задача защиты персональных данных работников от неправомерного их использования или утраты (гл. 14 ТК РФ).
Порядок хранения и использования персональных данных работников в организации устанавливается работодателем (ст. 87 ТК РФ).
Передача персональных данных работников в пределах одной организации должна осуществляться в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку (ст. 88 ТК РФ).
Локальный нормативный акт, связанный с проблемой сбора, обработки, передачи, хранения и защиты от несанкционированного доступа персональных данных работника, разрабатывается кадровой службой организации в виде положения, инструкции, правил или в какой-либо другой форме.
Круг лиц, участвующих в согласовании, устанавливается по усмотрению организации
Как и все документы этой группы, положение (инструкция, правила) должно быть подписано разработчиком (руководителем кадровой службы) и утверждено работодателем. Работодатель может утвердить документ лично, расписавшись в грифе утверждения, или издать приказ, об утверждении данного документа и вводе его в действие.
Наряду с названным локальным нормативным актом следует разработать форму обязательства о неразглашении персональных данных работника, т. к. лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности), о чем прямо сказано в ст. 88 ТК РФ.

Подробная информация о личности контроллера данных

Таким образом, может быть полезно рассмотреть оба элемента отдельно. Информация о том, как данные должны использоваться, в том числе о том, почему данные должны использоваться совместно, и какие организации должны предоставлять данные. В более широком плане справедливость в контексте совместного использования данных означает, что персональные данные должны делиться таким образом, который является разумным, что люди, вероятно, будут ожидать и вряд ли возражают. В частности, и что важно, субъект данных не должен быть обманут или введен в заблуждение относительно цели, для которой их данные должны быть обработаны.

ИНСТРУКЦИЯ по правилам обработки, хранения и передачи персональных данных работника (вариант)

I. Общие положения.
Нормативной базой, регламентирующей положения настоящей Инструкции, является статья 24 Конституции Российской Федерации, глава 14 Трудового кодекса Российской Федерации, статья 137 Уголовного кодекса Российской Федерации. II. К персональным данным работника, необходимым работодателю в
связи с трудовыми отношениями относятся:
- сведения об образовании;
- сведения о предыдущем месте работы, опыте работы и занимаемой должности;
- сведения о составе семьи и наличии иждивенцев;
- сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
- сведения об отношении к воинской обязанности;
III. Порядок обработки персональных данных работника.
1. При обработке персональных данных работника то есть их получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника, сотрудники отдела кадров обязаны соблюдать следующие общие требования:
1.1. Обрабатывать персональные данных работника может исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
1.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
1.3. Сотрудник отдела кадров не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом;
1.4. Персональную ответственность за соблюдение всеми сотрудниками отдела кадров настоящей Инструкции, а также контроль за ее соблюдением возложен на Начальника отдела кадров (ФИО)
1.5. Все сотрудники отдела кадров должны быть ознакомлены с настоящей Инструкцией под расписку.
IV. Хранение персональных данных работников.
Хранения документов содержащих персональные данные работник осуществляется в несгораемых шкафах (сейфах), ключи от которых находятся у Начальника отдела кадров, а в его отсутствие у лица его замещающего. Другие сотрудники отдела кадров могут использовать данные документы только с разрешения вышеназванных лиц. V. Передача персональных данных работника.
1. При передаче персональных данных работника сотрудник отдела кадров должен соблюдать следующие требования:
1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, а также не сообщать соответствующие сведения в коммерческих целях без письменного согласия работника;
1.2. При передаче персональных данных работников предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
1.3. Сотруднику отдела кадров разрешается доступ только к тем персональным данным работников, которые необходимы для выполнения им его должностных обязанностей;
1.4. Сотрудник отдела кадров не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
VI. Ответственность.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Хранение персональных данных сотрудников

Обработка данных законным способом имеет два основных направления. Данные должны рассматриваться только в соответствии с законом; Обработка данных должна основываться на одном из условий легитимизации. Что произойдет, если произойдет изменение первоначальных обстоятельств, в которых были собраны данные. В этом контексте контроллеры данных должны знать, что любые новые дополнительные механизмы совместного использования данных должны соответствовать второму принципу защиты данных. Короче говоря, данные не должны обрабатываться с целью, отличной от той, для которой она была первоначально собрана, или той, которая несовместима с ней.

Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных», обеспечить безопасность этой информации.

Чтобы определить, совместима ли другая операция обработки с исходной целью, контроллер данных должен выполнить оценку совместимости. Обработка персональных данных способом, несовместимым с целью, указанной в коллекции, является незаконной и, следовательно, не разрешена.

Согласие сотрудника на обработку персональных данных

Здесь важно отметить, что контроллер данных не может просто рассматривать дальнейшую обработку в качестве новой обрабатывающей деятельности и поэтому полагаться на другое условие легитимизации. Например, если контроллер данных первоначально полагался на согласие в качестве законной основы, на которой должны были обрабатываться данные, но предлагаемая вторичная обработка предназначена для целей, выходящих за рамки первоначального согласия, контроллер данных не может тогда полагаться на условие «законных интересов», чтобы узаконить дальнейшую обработку.

Правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), касаются не только тех организаций, которые имеют дело с клиентскими базами данных. Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Оператор по обработке персональных данных

Важно иметь процедуры управления, чтобы обеспечить качество данных, которые вы держите, особенно если вы планируете делиться данными. В этом контексте стоит вспомнить третий, четвертый и пятый принципы защиты данных. Например, если кто-то делится данными, тогда следует рассмотреть вопрос о том, какие данные необходимо разделить.

Не существует формального юридического требования для сторон соглашения о совместном использовании данных для заключения письменного соглашения. Как мы уже отмечали, потенциальная возможность для организаций использовать личную информацию клиентов для контактных целей полностью зависит от уведомлений, которые были предоставлены клиенту, и прав, полученных от них.

Какие данные являются персональными

Согласно Трудовому кодексу РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Закон о персональных данных расширяет и уточняет понятие.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Использование, к которому могут быть помещены данные, будет зависеть от условия, которое узаконивает обработку данных. Достаточно сказать, что независимо от того, какое условие зависит от того, что узаконивает обработку, использование, которому должны быть переданы данные, должно соответствовать этому условию легитимации.

Положение о персональных данных работников

Первый момент, который следует отметить, заключается в том, что исключение исследования только освобождает контроллер данных от соблюдения второго и пятого принципов защиты данных и раздела 7 Закона о защите данных. Таким образом, контроллер данных должен все еще иметь условие легитимации в отношении обработки данных, чтобы сделать обработку законной, как того требует первый принцип защиты данных. Исследователи часто полагаются на условие «законных интересов», когда стремятся удовлетворить первый принцип защиты данных в отношении исследований или статистического анализа, чтобы дополнительное согласие субъекта данных не требовалось для проведения исследования.

Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным.

Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • паспорте;
  • военном билете (у военнообязанных);
  • свидетельстве о присвоении ИНН;
  • страховом пенсионном свидетельстве;
  • документах об образовании (в т. ч. и дополнительном образовании, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
  • водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
  • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

Использование предприятием в своей деятельности вышеуказанных данных (сбор, систематизация, накопление, хранение, уточнение, уничтожение, использование, распространение и передача) трактуется законодательством как «обработка персональных данных». Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

Введение Положения в действие

Нет единого правила, согласно которому этот подход является удовлетворительным; необходимо провести индивидуальный анализ. Что касается применения освобождения от исследования, второй принцип защиты данных гласит, что данные должны быть получены только для определенных законных целей и не обрабатываться в дальнейшем таким образом, который несовместим с этими целями. Однако дальнейшая обработка, которая предназначена только для исследовательских целей и которая не была явно разрешена субъектом данных, несовместима со вторым принципом защиты данных при условии соблюдения следующих двух условий.

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений.

Так, работодатель не имеет права:

  • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
  • сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Кроме этого, работодатель должен соблюдать следующие требования:

Данные не обрабатываются для поддержки мер или решений в отношении конкретных лиц. Данные не обрабатываются таким образом, что существенный ущерб или существенное бедствие или, вероятно, будет вызвано любым субъектом данных. Его можно сохранить на неопределенный срок в связи с исследовательской целью; и данные освобождаются от права субъекта данных на доступ к их собственным данным, пока выполняются условия, упомянутые выше, и результаты исследования или любые результирующие статистические данные не предоставляются в форме, которая идентифицирует субъекта данных. Компания обязуется выполнять свои обязательства в этом отношении в отношении всех персональных данных, которые она обрабатывает.

  • предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности;
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций; передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

Документы для работы с персональными данными

Для того, чтобы обезопасить себя во время проверки сохранности персональных данных, в компании должны быть следующие документы, которые можно будет предъявить по требованию проверяющих:

Определение условий защиты данных

Акты налагают ограничения на то, как Компания может собирать и обрабатывать эти данные. Личные данные могут быть фактическими, или это может быть мнение. Получение, регистрация или хранение данных, сбор, организация, хранение, изменение или адаптация данных, извлечение, консультирование или использование данных, раскрытие информации или данных путем их передачи, распространения или предоставления другим способом, выравнивание, объединение, блокирование, удаление или уничтожая данные. Они предусматривают, что персональные данные должны быть.

  • положение о персональных данных;
  • приказ о назначении ответственных за работу с персональными данными;
  • приказ о назначении ответственных за обеспечение безопасности персональных данных;
  • заявления работников о согласии на обработку персональных данных.

Положение о персональных данных

Во исполнение законодательства РФ, для обеспечения защиты прав и свобод работника каждая организация обязана разработать и принять положение о персональных данных сотрудников (далее – Положение). Этот документ определяет, какие именно сведения подлежат обработке и хранению на данном предприятии.

Адекватный, релевантный и не чрезмерный. Сохраняется не более, чем необходимо для целей или целей, для которых он был собран. Предоставляется субъектам данных по запросу.

  • Получают и обрабатывают справедливо.
  • Сохраняется только для одной или нескольких конкретных, явных и законных целей.
  • Используется и раскрывается только способами, совместимыми с этими целями.
  • Хранится безопасно и безопасно.
  • Сохранено точное и полное обновление.
Они могут включать, помимо прочего, требования, которые субъект данных согласился на обработку, или что обработка необходима для законных интересов контроллера данных или стороны, которой раскрыты данные.

Положение относится к управленческой документации и утверждается приказом по организации. Его содержание должно быть разработано в соответствии с Конституцией РФ, Гражданским и Трудовым кодексами РФ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

В большинстве случаев требуется четкое согласие субъекта данных на обработку таких данных. Личные данные могут обрабатываться только для конкретных целей, уведомленных субъекту данных, когда данные были сначала собраны или для любых других целей, специально разрешенных Актами. Это означает, что личные данные не должны собираться с одной целью, а затем использоваться для другого. Если возникает необходимость изменить цель, для которой обрабатываются данные, субъект данных должен быть проинформирован о новой цели до начала любой обработки.

В Положении должны содержаться следующие разделы:

  1. Общая информация.
  2. Основные понятия и состав персональных данных работников.
  3. Сбор, обработка и защита данных.
  4. Передача и хранение данных.
  5. Доступ к персональным данным работников.
  6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Любые персональные данные сотрудников, собираемые Компанией, используются для обычных человеческих ресурсов. В тех случаях, когда необходимо собирать данные о сотрудниках для другой цели, Компания уведомляет об этом сотрудника и, когда это уместно, получит согласие работника на такую ​​обработку.

Личные данные должны собираться только в той степени, в которой это требуется для конкретной цели, уведомленной субъекту данных. Любые данные, которые не нужны для этой цели, не должны собираться в первую очередь. Целостность - то, что личное данные точны и подходят для той цели, для которой она обрабатывается. Доступность - авторизованные пользователи должны иметь доступ к данным, если они им нужны для разрешенных целей.

  • Запираемые столы и шкафы.
  • Методы утилизации.
  • Бумажные документы должны быть измельчены.
Персональные данные должны быть точными и быть в курсе последних событий.

Перечень обрабатываемых данных сотрудников

Далее потребуется утвердить документ, содержащий перечень персональных данных, которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Информация, которая является неправильной или вводящей в заблуждение, неточна, и необходимо предпринять шаги для проверки точности любых персональных данных в момент сбора и через определенные промежутки времени. Неточные или устаревшие данные должны быть уничтожены. Примеры соответствующих изменений в данных будут включать изменение адреса.

Личные данные не должны храниться дольше, чем это необходимо для этой цели. Для руководства в отношении конкретных сотрудников по хранению данных следует обратиться к своему менеджеру. Компания имеет различные юридические обязательства хранить определенные данные о сотрудниках в течение определенного периода времени. Кроме того, Компании может потребоваться сохранить данные о персонале в течение определенного периода времени для защиты своих законных интересов.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Если в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т. п.), то эти отчеты тоже нужно включить в перечень. Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Обработка в соответствии с правами субъекта данных

Данные должны обрабатываться в соответствии с правами субъектов данных. Субъекты данных имеют право. Предотвратите обработку, которая может нанести ущерб или бедствие для себя или для кого-либо еще.

Работа с запросами доступа к предмету

  • Запросить доступ к любым данным, хранящимся в них контроллером данных.
  • Предотвратите обработку своих данных для целей прямого маркетинга.
  • Попросите внести неверные данные.
Формальный запрос от субъекта данных для информации, которую Компания держит в отношении них, должна быть сделана в письменной форме.

Обратите внимание

Штрафы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.

Следующий этап работы – подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников. Кстати, приказ руководителя о назначении ответственного за работу с персональными данными и обеспечение их защиты – первое, что захотят увидеть проверяющие. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Гонорар оплачивается субъектом данных для предоставления этой информации. Любой сотрудник, который получает письменный запрос в отношении данных, хранящихся в Компании, должен направить их своему менеджеру немедленно. Субъектам данных следует предоставить свои данные в соответствии с любым таким запросом в течение 40 дней с момента получения запроса.

Предоставление информации по телефону

Любой сотрудник, занимающийся телефонными вопросами, должен быть осторожным в раскрытии любой личной информации, хранящейся в компании по телефону. В частности, работник должен. Проверьте личность вызывающего абонента, чтобы убедиться, что информация предоставляется только лицу, которое имеет право на эту информацию. Предложите, чтобы вызывающий абонент отправил свой запрос в письменной форме, если сотрудник не уверен в личности пользователя и в обстоятельствах, когда идентификация вызывающего абонента не может быть проверена. Ни один сотрудник не должен чувствовать себя вынужденным раскрывать личную информацию. Обратитесь к своему менеджеру за помощью в помощь в сложных ситуациях. . Когда это потребуется, Компания предпримет шаги для обеспечения того, чтобы данные имели тот же уровень защиты, что и внутри Республики Индия.

Ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно – Роскомнадзор). Все материалы по тем проверкам, где обнаружены нарушения, ведомство передает в прокуратуру.

Когда ознакомить нового сотрудника с Положением о персональных данных

Ознакомьте будущего сотрудника с Положением о персональных данных до подписания трудового договора (ст. 68 ТК РФ). Подтвердить, что работник прочитал Положение, можно его подписью:

  • в тексте трудового договора;
  • в листе ознакомления с Положением о персональных данных;
  • в журнале ознакомления с локальными актами.

Положение о персональных данных – это локальный нормативный акт, который обязательно должен быть в организации (ст. 87 ТК РФ). Иначе компанию могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).

Согласие сотрудника на обработку персональных данных

Получить согласие нужно, если:

  • запрос информации о сотруднике поступил от сторонней организации;
  • работодатель направляет запросы в другие организации;
  • работодатель обрабатывает сведения о включенных в кадровый резерв;
  • обработка персональных данных родственников сотрудника превышает установленный объем (данных требуется больше, чем указано в личной карточке).

Персональные данные являются конфиденциальной информацией, а значит, к ней не должно быть свободного доступа, иначе она уже перестает быть таковой. В связи с этим передавать такие сведения о сотрудниках другим лицам работодатель вправе только с их письменного согласия.

Исключение из правил – ситуации, когда под угрозу ставятся жизнь и здоровье работников. Кроме того, законом предусмотрена обработка персональных данных сотрудника без согласия проверяемого, если он является сотрудником правоохранительных органов.

Заявление-согласие адресуется работодателю в лице генерального директора. Однако последний вправе поручить обработку персональных данных другим сотрудникам организации (ч. 3 ст. 6 Закона о персональных данных). Чаще всего это кадровики и бухгалтеры. Согласие может быть оформ­лено как на бумажном носителе, так и в электронном виде. Однако в этом случае его нужно подписать электронной подписью (ч. 4 ст. 9 Закона о персональных данных). Унифицированной формы согласия нет. Оно может быть оформлено в произвольной форме.

В заголовке необходимо указать, что это именно согласие на обработку персональных данных, а не что-либо иное.

Далее прописывается Ф. И. О. от руки самим проверяемым, затем серия и номер паспорта, кем он выдан. После чего указывается наименование той организации, которой проверяемый дает разрешение на проверку. В последующем необходимо указать основания проверки.

Обязательно подробно распишите, на что именно проверяемый дает свое согласие. В конце документа должна стоять подпись проверяемого лица.

Сотрудник, давший согласие на обработку своих персональных данных, в любой момент вправе отозвать такое согласие (ч. 2 ст. 9 Закона о персональных данных).

Если работник не согласен

Если работник не согласен на обработку персональных данных, разъясните последствия.

Объясните работнику, что без его согласия нельзя оформить полис ДМС, поздравить с днем рождения, сделать подарки детям на праздники, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, размещать информацию на портале компании. Как правило, при таких аргументах сотрудники меняют позицию и дают согласие на обработку данных.

Работодатель вправе обрабатывать персональные данные сотрудника без его согласия при условии, что их объем не превышает установленный законом. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные в случаях, которые предусматривают коллективный договор, локальные акты работодателя, принятые в порядке, установленном статьей 372 Трудового кодекса РФ.

Хранение персональных данных сотрудников

Федеральный закон от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» предусматривает хранение исключительно на российских серверах. Персональные данные сотрудников, содержащиеся в их личных делах, должны храниться в организации в течение 75 лет.



 

Возможно, будет полезно почитать: