- 5 шагов по организации учета и хранения персональных данных
- Какие данные являются персональными
- Обработка персональных данных
- Организация учета и хранения персональных данных
- Подведем итоги
- Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года
- Что такое персональные данные?
- Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
- Ответственность за нарушение закона 152-ФЗ
- Должность работника является персональными данными
- Персональные данные работника: общие положения
- Персональные данные работника
- Является ли место работы персональными сведениями о сотруднике?
- Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)
- Что такое ПДн
- Как быть, если отсутствует однозначность определений
- Зачем Роскомнадзор вводит понятие “идентификатора”
- Файлы cookie и персональные данные
- Решение проблемы
- Новый европейский регламент GDPR
- Остались вопросы?
5 шагов по организации учета и хранения персональных данных
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».
Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.
Федеральный закон от 27.07.
2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.
Какие данные являются персональными
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).
К общим персональным данным можно отнести следующие сведения:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес (место регистрации);
- образование, профессия;
- изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Кроме того, в Законе о персональных данных упоминаются:
- специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
- биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.
Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:
- в паспорте или ином документе, удостоверяющем личность;
- трудовой книжке;
- документах о воинском учете, образовании, составе семьи;
- справке о доходах с предыдущего места работы;
- анкете, заполняемой при трудоустройстве;
- личной карточке работника (форма Т-2);
- свидетельствах о заключении брака, рождении ребенка;
- медицинских справках и др.
У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.
Обработка персональных данных
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).
Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.
В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:
1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).
В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):
- цели получения персональных данных работника у третьего лица;
- предполагаемые источники информации (лица, у которых будут запрашиваться данные);
- способы получения данных, их характер;
- возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).
В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).
Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.
2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);
3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).
Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):
- из документов (сведений), предъявляемых при заключении трудового договора;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
- в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
- от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
- от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).
Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).
Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.
Организация учета и хранения персональных данных
Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).
Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.
Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).
Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.
При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.
Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.
В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.
Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.
Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).
Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.
Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.
Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.
Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.
Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:
- заявления работников о согласии на обработку персональных данных;
- журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
- журнал проверок наличия документов, содержащих персональные данные работника.
Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.
Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.
Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.
Подведем итоги
Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:
- от всех ли работников получено согласие на обработку персональных данных;
- ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
- должным ли образом осуществляется хранение и защита персональных данных;
- соответствует ли документация об их обработке требованиям законодательства и т.д.
Источник: https://school.kontur.ru/publications/1583
Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года
Что такое персональные данные?
Как избежать претензий со стороны контролирующих органов и сотрудников
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Ответственность за нарушение закона 152-ФЗ
ТОП-5 нарушений, за которые штрафуют компании и руководителей
ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных». За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.
Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.
Что такое персональные данные?
Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.
https://www.youtube.com/watch?v=Lq1PpX5-dLg
Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:
- фамилию, имя, отчество;
- адрес проживания;
- электронный адрес;
- номер телефона;
- дата рождения;
- место рождения;
- национальность;
- вероисповедание;
- место работы;
- должность;
- рост;
- вес;
- и т.д.
Как должен защищать персональные данные отдел кадров
Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.
Итак, кадровым сотрудникам следует:
- Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
- Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
- Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
- Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).
Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.
Если компания имеет дело лишь с персональными данными:
- сотрудников, работающих по трудовым договорам;
- работающих по договорам ГПХ;
- и иными физическими лицами.
Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.
Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:
- уведомить Роскомнадзор о намерении обрабатывать персональные данные;
- подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
- Приказ о назначении ответственного за организацию обработки персональных данных;
- Документ, определяющий политику оператора в отношении обработки персональных данных;
- Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
- Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
- Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
- Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
- Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
- Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
- Документ о классификации информационных систем;
- Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
- Документ, устанавливающий порядок обработки персональных данных работников.
Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:
- Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
- Согласиями на передачу персональных данных провайдеру – от каждого сотрудника
Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.
Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.
), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.
Добросовестный провайдер:
- По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).
Важно!
Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.
- Ознакомит со своей Политикой в отношении персональных данных клиентов.
- Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.
Важно!
Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.
Ответственность за нарушение закона 152-ФЗ
Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ. | от 30 000 до 50 000 руб. |
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется) | от 15 000 до 75 000 руб. |
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.) | от 15 000 до 30 000 руб. |
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение. | от 20 000 до 45 000 руб. |
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д. | от 25 000 до 50 000 руб. |
Что говорят суды о плохо защищенных персональных данных
- В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/
Должность работника является персональными данными
Ответ Ответ на вопрос: Да, такая информация относится к персональным данным работника. В соответствии со ст. 3 Закона от 27 июля 2006 г.
№ 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Предоставление персональных данных работника в рамках действующего законодательства РФ возможно: 1) самому работнику, в том числе без письменного запроса о предоставлении данных, поскольку согласие работника отражается проставлением подписи при получении документа; 2) третьим лицам при предъявлении письменного согласия работника; 3) третьим лицам, обладающим правом получения таких данных в силу закона без согласия работника. Банки и организации – работодатели, куда работник планирует устроиться на работу, к органам, имеющим право на получение информации о работнике без его согласия, не относятся.
Важно Более того, запрет на обнародование и дальнейшее использование изображения гражданина без его согласия прямо установлен в статье 152.1 Гражданского кодекса РФ. Исключение составляют случаи использования:
- фотографий в государственных, общественных или иных публичных интересах;
- оплаченных фотографий;
- фотографий, которые сделаны в рамках публичных и массовых мероприятий.
Согласие сотрудника на обработку персональных данных Как получить согласие сотрудника на обработку его персональных данных По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников.
Обработка таких данных осуществляется только с письменного согласия сотрудников.
Персональные данные работника: общие положения
ТК работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника.
При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Согласно статье 89 ТК работники имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч.
на получение копии любой записи, содержащей такие данные.
Персональные данные работника
В этих документах содержатся анкетные и биографические данные работника;
- копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;
- личная карточка №Т-2.
- трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;
- копии свидетельств о заключении брака, рождении детей.
Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;
В отдельную группу преступлений, затрагивающих персональные данные работников, выделены кража, изменение или удаление информации, касающейся работников, в электронном виде. За взлом компьютерных систем с этой целью грозит до 7 лет лишения свободы (ст.
272 УК РФ). … Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа! Это быстро и бесплатно!
- Виды персональных данных работника
- Что относится к персональным данным сотрудника?
- Срок хранения
Виды персональных данных работника Личные данные работника в своей основной части хранятся в отделе кадров.
Является ли место работы персональными сведениями о сотруднике?
Документы кадровой службы * локальные нормативные акты, порядок разработки и принятия * штатное расписание * график отпусков * график отпусков на следующий год — вопросы декабря, имеется еще время доработать! * правила внутреннего трудового распорядка * коллективный договор * положение об оплате трудадокументы, устанавливающие порядок обработки персональных данных* должностные инструкции, кем разрабатываются их форма и содержание * порядок изменения должностной инструкции * варианты должностных инструкций * этапы разработки положений о структурных подразделениях, согласование и подписание * планы работы отдела кадров, движение персонала и его анализ Защита персональных данных сотрудников организации Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
- финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Документы, содержащие персональные данные В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника.
Исходя из определения персональных данных, которое дано в Законе о персональных данных, такие сведения могут содержаться в следующих документах:
- анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу.
И. Еланина Согласно статье 3 Федерального закона от 27.07.
2006 №152-ФЗ «О персональных данных» (Закон о персональных данных) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д. Согласно статье 85 Трудового кодекса (ТК) под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Работодатель имеет право затребовать от работника только ту информацию, которая не относится к его личностным данным.
Внимание
В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;
- при необходимости — иные документы, содержащие персональные данные работников.
Работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.
Защита персональных данных работника Согласно ч. 1 статьи 89 ТК работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией. Согласно п.
Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;
- справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;
- документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;
- документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;
- трудовой договор. В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;
- подлинники и копии приказов по личному составу.
Актуализация вопроса доступа и сохранности персональных данных связана с возрастанием количества информации и активным использованием средств ее автоматизированной обработки. Глобальная информатизация общества затронула все сфере человеческой деятельности: начиная от общения людей в обычных социальных сетях и заканчивая принятием стратегических решений на государственном уровне.
Неслучайно страны, в которых эти процессы начались в 80-ые гг. ХХ века, ранее всех озаботились вопросами регулирования образующихся информационных потоков.
В нашей стране ТК РФ формулирует понятие персональных данных работника (ч. 1 ст.
85) и понятие обработки этих данных (ч. 2 той же статьи). Содержательных изменений не произошло: персональные данные по Трудовому кодексу всегда являлись закрытой информацией. Так было и в советское время, когда компьютеров не существовало.
Источник: http://yuridicheskaya-praktika.ru/dolzhnost-rabotnika-yavlyaetsya-personalnymi-dannymi/
Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Что такое ПДн
Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.
Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».
Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица.
Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен.
Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».
На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».
То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.
Для лучшего понимания ситуации рассмотрим пример:
Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Зачем Роскомнадзор вводит понятие “идентификатора”
И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
- Номер и серия паспорта.
- Страховой номер индивидуального лицевого счета (СНИЛС).
- Идентификационный номер налогоплательщика (ИНН).
- Биометрические данные.
- Банковский счет, номер банковской карты.
Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения.
К ним относятся:
- Фамилия, имя, отчество, дата рождения, место прописки.
- Фамилия, имя, отчество, дата рождения, должность.
- Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.
При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.
Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.
Файлы cookie и персональные данные
Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.
Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.
Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.
Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.
Решение проблемы
Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.
Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:
- Операционная система.
- Часовой пояс и время браузера в 24-часовом формате.
- Язык браузера.
- Глубина цвета и разрешение экрана.
- Поддерживает ли браузер и/или включен JavaScript.
- Версия JavaScript, поддерживаемая браузером.
- Тип соединения, используемый для передачи данных.
- Размер окна браузера.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон.
И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Остались вопросы?
Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.
В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.
(8 5,00 из 5)
Загрузка…
Источник: https://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/