Путеводитель по кадровым вопросам персональные данные работников
Скачать 458.5 Kb.
|
2. Условия обработки персональных данных С 27 июля 2011 г. вступила в силу новая редакция Закона о персональных данных. Изменения внесены Федеральным законом от 25.07.2011 N 261-ФЗ и распространяются на правоотношения, возникшие с 1 июля 2011 г. Новая редакция ст. 6 Закона о персональных данных содержит допустимые случаи обработки персональных данных. Один из таких случаев - обработка, необходимая для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных (п. 5 ч. 1 указанной статьи). Согласно прежней редакции ст. 6 Закона о персональных данных потенциальные работодатели обрабатывали персональные данные соискателей только с их согласия. Со вступлением в силу новой редакции Закона о персональных данных это условие не применяется. В соответствии с новой редакцией Закона о персональных данных работодатель вправе поручить обработку персональных данных другому лицу. В этом случае обработка возможна только с согласия работника (соискателя). При этом ответственность перед работником (соискателем) за действия указанного лица несет работодатель (ч. 3 ст. 6 Закона о персональных данных). В силу п. 4 ст. 9 Закона о персональных данных письменное согласие субъекта персональных данных на обработку своих данных должно содержать: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе. При получении согласия от представителя субъекта персональных данных: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя; 2) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных. Если обработка данных будет поручена другому лицу: наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку по поручению оператора; 3) цель обработки; 4) перечень данных, на обработку которых дается согласие субъекта персональных данных; 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки; 6) срок, в течение которого действует согласие, а также способ его отзыва; 7) подпись субъекта персональных данных. Для обработки персональных данных соискателя, содержащихся в письменном согласии лица на такую обработку, дополнительного согласия не требуется. При недееспособности субъекта персональных данных письменное согласие на обработку его данных дает его законный представитель. В случае смерти субъекта персональных данных такое согласие оформляют его наследники, если оно не было получено от самого субъекта при жизни. См. образец заполнения согласия. См. образец заполнения отзыва согласия. 3. Обработка персональных данных без использования средств автоматизации Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ. В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Согласно данному Положению обработкой персональных данных без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека (п. 1 Положения, утв. Постановлением Правительства РФ от 15.09.2008 N 687). Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации. Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях. Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии). Пункт 7 Положения содержит условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, например унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата РФ от 05.01.2004 N 1. Согласно пп. "а" п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных. Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения такого согласия (пп. "б" п. 7 Положения). При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. "в" п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. "г" п. 7 Положения). 4. Обработка персональных данных с использованием средств автоматизации Согласно ст. 3 Закона о персональных данных под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения). Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации. Подробнее об этом см. п. 3 настоящего материала. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Организация учета и хранения персональных данных >>> 1.1. Оформление журналов учета персональных данных >>> 1.2. Требования к помещению, где хранятся персональные данные >>> 1.3. Защита персональных данных >>> 1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя >>> 2. Организация доступа работников к персональным данным других работников >>> 3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным >>> 4. Положение о персональных данных >>> 4.1. Оформление Положения о персональных данных >>> 4.2. Введение в действие Положения о персональных данных >>> 4.3. Ознакомление с Положением о персональных данных >>> 4.4. Изменение и дополнение персональных данных >>> 4.4.1. Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.) >>> 4.5. Срок хранения персональных данных >>> 1. Организация учета и хранения персональных данных Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников. Подробнее об этом см. п. 4 настоящего материала. 1.1. Оформление журналов учета персональных данных Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам. В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе. Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые. Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана. Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника. 1.2. Требования к помещению, где хранятся персональные данные Исходя из требований п. 7 ст. 86 и ст. 87 ТК РФ на работодателя возложена обязанность по защите персональных данных работников. Защита персональных данных включает в себя установление особого режима доступа в те помещения, где хранятся такие данные, направленного на защиту последних от несанкционированных доступа, изменений или распространения. Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные. Однако исходя из требований Трудового кодекса РФ во избежание несанкционированного доступа к персональным данным работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения. Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем. Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (см. Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 N 558). 1.3. Защита персональных данных Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании. Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры: - установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей; - установить особый порядок выдачи пропусков и удостоверений работников; - использовать технические средства охраны; - использовать программно-технический комплекс защиты информации на электронных носителях и пр. Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее: - ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников; - избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными; - рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации; - регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных; - создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников; - определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные; - организовать порядок уничтожения информации; - своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников; - проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений. 1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя Большинство организаций используют электронные системы хранения и обработки персональных данных. Однако при этом следует учитывать требования действующего законодательства по обеспечению безопасности персональных данных при их электронной обработке и хранении. Постановлением Правительства РФ от 17.11.2007 N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Положение). Указанное Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих обрабатывать такие данные с использованием средств автоматизации. В соответствии с данным Положением работодателю необходимо соблюсти ряд требований при использовании такой системы обработки персональных данных. Согласно ч. 2 п. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в т.ч. шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Соответственно, такие информационные системы должны предусматривать возможность ограничения доступа к информации (установление паролей и т.д.). В соответствии с п. 14 Положения лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующей информации на основании списка, утвержденного оператором или уполномоченным лицом. Исходя из содержания данного пункта работодателю необходимо издать приказ о допуске конкретных лиц к информационной системе, в которой происходит обработка персональных данных работников. См. образец заполнения приказа. |
Похожие:
 | Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением... |  | Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением... |
| Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных определенному или... | | Особенности регулирования труда медицинских работников связаны с характером их профессиональной деятельности |
| Путеводитель по кадровым вопросам. Образцы заполнения форм документов {КонсультантПлюс} | | Путеводитель по кадровым вопросам. Образцы заполнения форм документов {КонсультантПлюс} |
| Подбор, прием на работу и расстановка кадров относятся непосредственно к компетенции образовательного учреждения. Порядок комплектования... | | Категории лиц, подлежащих обязательному медицинскому осмотру при заключении трудового договора |
| Категории лиц, подлежащих обязательному медицинскому осмотру при заключении трудового договора | | В соответствии с п. 1 ст. 30 Конституции РФ каждый имеет право на объединение, включая создание профессиональных союзов для защиты... |