Как организовать работу с персональными данными внутри организации в 2024

Штрафы за нарушение законодательства в этой сфере довольно суровые: для юрлиц — от 30 тыс. до 18 млн рублей (ст. 13.11 КоАП). Разберемся, как организовать работу на предприятии и избежать санкций Роскомнадзора.

Что значит «персональные данные», и в какие моменты работодатель их «обрабатывает»

Компания размещает в Интернете объявление о поиске сотрудника на вакантную должность. В ответ потенциальные кандидаты присылают резюме, сопроводительные письма, оставляют контакты для связи. И уже с этого момента работодатель начинает нести ответственность за сохранность личной информации.

Персональные данные — это любые сведения о физлице, которые относятся к нему прямо или косвенно (ст. 3 закона от 27.07.2006 № 152-ФЗ), а также

1. Позволяют идентифицировать обладателя как личность.

2. Требуются обычно для трудовой деятельности.

Помимо стандартной информации (ФИО, дата и место рождения, адрес регистрации), к ним также относятся:

• номера СНИЛС, ИНН;

• паспортные данные;

• семейный статус, количество детей;

• информация об образовании, квалификации;

• данные военного билета;

• медицинские диагнозы;

• сведения о доходах и имущественном положении; 

• биометрия. 

В определенных обстоятельствах суд расценивает в качестве персданных и другие сведения. Например, адрес электронной почты, номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.2013 по делу № 33-9241/2015), информацию о смерти гражданина (постановление АС Поволжского округа по делу № А49-2005/2014), фотографии (апелляционное определение Свердловского областного суда от 09.04.2015 по делу № 33-5232/2015).

Как защитить персональные данные: пошаговая инструкция

В законе №152-ФЗ закреплена обязанность работодателя препятствовать утечке личной информации о физлицах, которая попадает в его распоряжение в процессе трудовой деятельности. Расскажем пошагово, как это реализовать на практике.

Шаг 1. Разработать и утвердить локальный акт о работе с персональными данными 

Отсутствие Положения о работе с персональными данными сотрудников — это основание для привлечения компании к ответственности по ст. 5.27 КоАП. Если Роструд придет с проверкой, и акта в отделе кадров не окажется (а равно — не будет листа ознакомления персонала), грозит штраф от 30 до 50 тысяч руб.

В Положении пропишите:

• правила обработки, хранения и использования персональных данных физлиц;

• перечень документов, которые содержат ПД, а потому подлежат охране;

• порядок передачи персданных внутри организации и третьим лицам;

• перечень лиц, которые имеют доступ к личной информации сотрудников;

• ответственность за нарушение норм, регулирующих работу с ПД, в том числе дисциплинарную, материальную, административную, гражданско-правовую и уголовную.

Шаг 2. Издать приказ о назначении ответственного лица

Из числа сотрудников руководитель должен выбрать лицо, которое будет отвечать за организацию работы с ПД на предприятии (ч. 1 ст. 18.1, ч. 1 ст. 22.1 закона №152-ФЗ).

Как правило, это кто-то из топ-менеджмента: начальник службы персонала, глава отдела безопасности, заместитель гендира. За обработку данных в автоматизированных системах контроля и управление доступом может отвечать также руководитель IT-подразделения.

Шаг 3. Определить круг лиц, имеющих доступ к персональным данным

Ряд сотрудников по долгу службы сталкиваются с обработкой персданных ежедневно. Например, hr-специалисты и кадровики принимают соискателей, занимаются оформлением, сканируют личные документы при приеме на работу. 

Для таких лиц необходимо открыть доступ и четко регламентировать круг полномочий (абз. 6 ст. 88 ТК). 

Важно: сотрудники получают разный уровень доступа в зависимости от своего положения и должностных обязанностей. Так, секретарь использует паспортные данные для покупки билетов, бухгалтер обрабатывает больничные листы, а руководители подразделений могут владеть сведениями только о своих подчиненных.

Это односторонний документ, в котором секретарь (главбух, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам, не использовать личную информацию коллег с целью получения выгоды, а кроме того, фиксирует, что предупрежден об ответственности по ст. 90 ТК.

Шаг 4. Обеспечить безопасное хранение персональных данных

Способ хранения зависит от того, как обрабатываются данные.

Если это полностью автоматизированная система, в которой исключен ручной труд, то необходимо позаботиться о безопасности, в соответствии с критериями приказа ФСТЭК от 18.02.2013 № 21. В том числе:

• Ограничить доступ к электронным базам и отдельным сведениям для разных категорий сотрудников.

• Установить двухуровневую схему паролей — на уровне локальной сети и на уровне баз данных.

• Периодически менять пароли, обычно это делают раз в месяц.

• Выдавать ключи исключительно в руки уполномоченных лиц.

При неавтоматизированной обработке, когда персданные хранятся на бумаге, работодатель должен:

• Определить места для архива материальных носителей и обеспечить персонифицированный доступ.

• Установить перечень лиц, допущенных в хранилище.

• Оборудовать помещения системами видеонаблюдения и сигнализации при необходимости.

Перечень документов, которые нужно держать в недоступном месте:

• личные карточки и дела; 

• анкеты, которые соискатель заполняет на собеседовании;

• копии паспортов;

• сведения о трудовом стаже и предыдущих местах работы, бумажные трудовые книжки; 

• копии свидетельств о заключении брака, рождении детей; 

• документы воинского учета; 

• справки о доходах и суммах налога с предыдущего места работы; 

• документы об образовании и квалификации; 

• копии СНИЛС; 

• трудовые договоры и доп. соглашения к ним; 

• приказы и их копии;

• локальные акты, в которых указаны ПД о конкретных работниках.

Шаг 5. Получите согласие работника на обработку персональных данных

Получение и обработка информации, которая стала известна работодателю:

• при оформлении в штат нового сотрудника из документов — паспорт, трудовая книжка, военный билет, диплом, СНИЛС;

• из резюме;

• по результатам обязательного медосмотра,

не требует получения согласия сотрудника.

К распространению можно причислить, например,

• опубликование сведений об образовании и опыте работы специалиста на корпоративном сайте;

• публикацию в журналах и газетах;

• печать рекламных буклетов с контактами, фото и ФИО сотрудников;

• печать визиток и т.д.

Штрафы за нарушения в обработке персональных данных

В общем случае, ответственность за нарушение закона № 152-ФЗ установлена в ст. 13.11 КоАП. Санкции за неправильную обработку персданных в последние годы имеют тенденцию к ужесточению, законодатель вводит новые штрафы и правила защиты. Эти изменения направлены на обеспечение надежной конфиденциальности граждан и повышение ответственности юрлиц, которые получают доступ к личной информации. 

Так, например, с марта 2023 года уточнен порядок уничтожения персональных данных. Штраф за невыполнение требований для ИП от 20 000 до 40 000 рублей, а для юридического лица от 50 000 до 90 000 рублей.

Законодательство о персональных данных стремительно меняется, и отследить все нововведения довольно сложно даже инхаус-юристам. Получите подробную консультацию у тех, кто в теме. Эксперты «Консалтинг Онлайн» владеют актуальной информацией и имеют живой опыт взаимодействия с Роскомнадзором.

Как не нарваться на штрафы, работая с персональными данными?

Бесплатная памятка для юридических лиц

Забирайте памятку по соблюдению законодательства о персональных данных бесплатно!

Оставьте контакты, вышлем памятку на ваш e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие по перс.данным

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K3jQ1