Как организовать работу с персональными данными внутри организации в 2024

Штрафы за нарушение законодательства в этой сфере довольно суровые: для юрлиц — от 30 тыс. до 18 млн рублей (ст. 13.11 КоАП). Разберемся, как организовать работу на предприятии и избежать санкций Роскомнадзора.

Компания размещает в Интернете объявление о поиске сотрудника на вакантную должность. В ответ потенциальные кандидаты присылают резюме, сопроводительные письма, оставляют контакты для связи. И уже с этого момента работодатель начинает нести ответственность за сохранность личной информации.

Персональные данные — это любые сведения о физлице, которые относятся к нему прямо или косвенно (ст. 3 закона от 27.07.2006 № 152-ФЗ), а также

1. Позволяют идентифицировать обладателя как личность.

2. Требуются обычно для трудовой деятельности.

Помимо стандартной информации (ФИО, дата и место рождения, адрес регистрации), к ним также относятся:

• номера СНИЛС, ИНН;

• паспортные данные;

• семейный статус, количество детей;

• информация об образовании, квалификации;

• данные военного билета;

• медицинские диагнозы;

• сведения о доходах и имущественном положении; 

• биометрия. 

В определенных обстоятельствах суд расценивает в качестве персданных и другие сведения. Например, адрес электронной почты, номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.2013 по делу № 33-9241/2015), информацию о смерти гражданина (постановление АС Поволжского округа по делу № А49-2005/2014), фотографии (апелляционное определение Свердловского областного суда от 09.04.2015 по делу № 33-5232/2015).

В законе №152-ФЗ закреплена обязанность работодателя препятствовать утечке личной информации о физлицах, которая попадает в его распоряжение в процессе трудовой деятельности. Расскажем пошагово, как это реализовать на практике.

Отсутствие Положения о работе с персональными данными сотрудников — это основание для привлечения компании к ответственности по ст. 5.27 КоАП. Если Роструд придет с проверкой, и акта в отделе кадров не окажется (а равно — не будет листа ознакомления персонала), грозит штраф от 30 до 50 тысяч руб.

В Положении пропишите:

• правила обработки, хранения и использования персональных данных физлиц;

• перечень документов, которые содержат ПД, а потому подлежат охране;

• порядок передачи персданных внутри организации и третьим лицам;

• перечень лиц, которые имеют доступ к личной информации сотрудников;

• ответственность за нарушение норм, регулирующих работу с ПД, в том числе дисциплинарную, материальную, административную, гражданско-правовую и уголовную.

Из числа сотрудников руководитель должен выбрать лицо, которое будет отвечать за организацию работы с ПД на предприятии (ч. 1 ст. 18.1, ч. 1 ст. 22.1 закона №152-ФЗ).

Как правило, это кто-то из топ-менеджмента: начальник службы персонала, глава отдела безопасности, заместитель гендира. За обработку данных в автоматизированных системах контроля и управление доступом может отвечать также руководитель IT-подразделения.

Ряд сотрудников по долгу службы сталкиваются с обработкой персданных ежедневно. Например, hr-специалисты и кадровики принимают соискателей, занимаются оформлением, сканируют личные документы при приеме на работу. 

Для таких лиц необходимо открыть доступ и четко регламентировать круг полномочий (абз. 6 ст. 88 ТК). 

Важно: сотрудники получают разный уровень доступа в зависимости от своего положения и должностных обязанностей. Так, секретарь использует паспортные данные для покупки билетов, бухгалтер обрабатывает больничные листы, а руководители подразделений могут владеть сведениями только о своих подчиненных.

Это односторонний документ, в котором секретарь (главбух, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам, не использовать личную информацию коллег с целью получения выгоды, а кроме того, фиксирует, что предупрежден об ответственности по ст. 90 ТК.

Способ хранения зависит от того, как обрабатываются данные.

Если это полностью автоматизированная система, в которой исключен ручной труд, то необходимо позаботиться о безопасности, в соответствии с критериями приказа ФСТЭК от 18.02.2013 № 21. В том числе:

• Ограничить доступ к электронным базам и отдельным сведениям для разных категорий сотрудников.

• Установить двухуровневую схему паролей — на уровне локальной сети и на уровне баз данных.

• Периодически менять пароли, обычно это делают раз в месяц.

• Выдавать ключи исключительно в руки уполномоченных лиц.

При неавтоматизированной обработке, когда персданные хранятся на бумаге, работодатель должен:

• Определить места для архива материальных носителей и обеспечить персонифицированный доступ.

• Установить перечень лиц, допущенных в хранилище.

• Оборудовать помещения системами видеонаблюдения и сигнализации при необходимости.

Перечень документов, которые нужно держать в недоступном месте:

• личные карточки и дела; 

• анкеты, которые соискатель заполняет на собеседовании;

• копии паспортов;

• сведения о трудовом стаже и предыдущих местах работы, бумажные трудовые книжки; 

• копии свидетельств о заключении брака, рождении детей; 

• документы воинского учета; 

• справки о доходах и суммах налога с предыдущего места работы; 

• документы об образовании и квалификации; 

• копии СНИЛС; 

• трудовые договоры и доп. соглашения к ним; 

• приказы и их копии;

• локальные акты, в которых указаны ПД о конкретных работниках.

Получение и обработка информации, которая стала известна работодателю:

• при оформлении в штат нового сотрудника из документов — паспорт, трудовая книжка, военный билет, диплом, СНИЛС;

• из резюме;

• по результатам обязательного медосмотра,

не требует получения согласия сотрудника. 

К распространению можно причислить, например,

• опубликование сведений об образовании и опыте работы специалиста на корпоративном сайте;

• публикацию в журналах и газетах;

• печать рекламных буклетов с контактами, фото и ФИО сотрудников;

• печать визиток и т.д.

В общем случае, ответственность за нарушение закона № 152-ФЗ установлена в ст. 13.11 КоАП. Санкции за неправильную обработку персданных в последние годы имеют тенденцию к ужесточению, законодатель вводит новые штрафы и правила защиты. Эти изменения направлены на обеспечение надежной конфиденциальности граждан и повышение ответственности юрлиц, которые получают доступ к личной информации. 

Так, например, с марта 2023 года уточнен порядок уничтожения персональных данных. Штраф за невыполнение требований для ИП от 20 000 до 40 000 рублей, а для юридического лица от 50 000 до 90 000 рублей.

Законодательство о персональных данных стремительно меняется, и отследить все нововведения довольно сложно даже инхаус-юристам. Получите подробную консультацию у тех, кто в теме. Эксперты «Консалтинг Онлайн» владеют актуальной информацией и имеют живой опыт взаимодействия с Роскомнадзором.

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму, вышлем чек-лист нам на e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие по перс.данным

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K3jQ1