Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников(ст. 887 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 47 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Ситуация: можно ли разместить на официальном сайте списки уволенных сотрудников

Нет, нельзя без согласия сотрудника.

Если работодатель разместит на своем официальном сайте списки уволенных сотрудников без их согласия, он нарушит правила работы с персональными данными. Поскольку списки уволенных сотрудников содержат информацию, которая относится к их персональным данным. При этом не имеет значения основание увольнения, например утрата доверия или неоднократное неисполнение обязанностей. В любом случае размещать на корпоративном сайте личные данные сотрудника без его согласия неправомерно (Федеральный закон от 27.07.2006 № 152-ФЗ). Аналогичные разъяснения дают специалисты Минтруда в письме от 08.10.2018 № 14-2/В-803.

Разместить на своем корпоративном сайте списки уволенных можно, только если получите у сотрудников согласие на обработку их персональных данных.

Ситуация: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Ситуация: как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.

Такие правила установлены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Ситуация: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

В соответствии со статьей 9 Закона от 27 июля 2006 г. № 152-ФЗ сотрудник предоставляет персональные данные о самом себе. Однако для заполнения личной карточки сотрудника работодателю нужны сведения о членах его семьи и ближайших родственниках. Если сотрудник отказывается предоставлять данные о родственниках, то работодатель не вправе требовать их предоставления (ч. 1 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗп. 3 ст. 86 ТК РФ). В таком случае некоторые разделы личной карточки по форме № Т-2 останутся незаполненными по объективным причинам.

Чтобы избежать возможных претензий со стороны проверяющих органов и сотрудника, рекомендуется получить заявление сотрудника с его отказом от предоставления таких данных или зафиксировать такой отказ в акте. И акт и заявление можно составить в произвольной форме.

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы Жизненные ситуации - готовое решение для предпринимателей

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Расходы работника на нужды организации можно не возмещать, если работодатель не просил их оплачивать

Суд: если с работником договоры заключались на разные сроки, то отношения бессрочными не признаются

Как уведомить Роскомнадзор о начале обработки персональных данных сотрудников