Принимая на работу нового сотрудника, кадровик получает доступ к его персональным данным. В дальнейшем они будут храниться в архиве компании, использоваться для составления договоров, соглашений и других документов. Законодательство обязует кадровых сотрудников строго соблюдать конфиденциальность полученных сведений. Регламент хранения персональных данных определен, и его нарушение может повлечь немалые проблемы для компании. Ниже мы разберем, как правильно организовать хранение, рассмотрим документы, на которые обращает внимание Роскомнадзор при проведении проверок.
Что считается персональными данными
Данные, находящиеся в общей доступности, не нуждаются в защите. Информация, размещенная в социальных сетях или других открытых источниках, не требует от кадровика каких-либо особых действий. По умолчанию считается, что человек добровольно разместил свои данные там, где их может увидеть каждый желающий.
К данным, требующим особого отношения, относятся:
1) общие сведения (номер телефона, данные паспорта, домашний адрес, информация о полученном образовании);
2) биометрия (информация о физиологических особенностях человека);
3) специальные данные (вероисповедание, судимости, состояние здоровья, национальность).
Справка! Точный список общих персональных данных в законодательстве не указан. Поэтому следует с осторожностью обращаться с любыми сведениями, оказавшимися в руках кадровика. В судебной практике были случаи, когда персональными данными признавали фото или сведения о смерти.
Что значит защита персональных данных
Законодательно под термином «защита персональных данных» подразумевается комплекс мер, направленных на предотвращение попадания информации сторонним людям. Фактически, сведения не должны оказаться в доступности третьих лиц. Обрабатывать информацию имеют право кадровик и сотрудник, отвечающий за хранение документации.
Ответственность за нарушение правил хранения серьезная. В случае с утечкой биометрических данных возможно не только административное, но и уголовное наказание.
Специальные сведения могут быть переданы только по запросу правоохранительных органов, в целях сохранения здоровья или по решению суда. В остальных случаях для использования данных необходимо письменное согласие сотрудника.
Законы на которые нужно опираться при работе с персональными данными
В РФ разработано несколько законов, направленных на защиту персональных данных каждого человека от нецелевого использования. За любую утечку информации наказывают и компанию в целом, и ответственного сотрудника. Законы о защите персональных данных, как и все остальные, регулярно обновляются. Появляются новые, старые утрачивают силу. Например, ст. 85 Трудового Кодекса РФ уже не актуальна, но общую информацию из нее еще можно использовать.
Чтобы не совершить ошибок при работе с кадровой документацией, опирайтесь на следующие нормы законодательства:
ст. 86-90 ТК РФ;
ФЗ №149;
Конституция России;
ФЗ №152;
Указ Президента №188.
В каких документах содержатся персональные данные
Кадровик обрабатывает немало документации по каждому сотруднику. Но не вся она требует специальной защиты и особого хранения. Личная информация, оберегаемая законом, содержится в следующих документах:
- копия паспорта;
- оригинал и копия трудовой книжки;
- копии документов о семейном положении;
- свидетельства о рождении детей;
- СНИЛС;
- военный билет;
- дипломы;
- трудовые договоры, все приложения и допсоглашения к ним;
- личные дела сотрудников;
- анкеты, заполняемые при прохождении собеседования.
Также к персональным данным относится информация из приказов и локальных актов, в которых указаны сведения из приведенного выше списка документов.
Документы, необходимые для защиты персональных данных
Несмотря на большое количества законодательных актов о защите персональных данных, точного списка документации, необходимой для организации правильного хранения информации, нет.
Работодатель обязан создать Политику о защите персональных данных. В ней прописываются все документы, регулирующие процесс, а также процедуры хранения и утилизации полученной информации. Там же указывают способы обработки, правила передачи (при наличии законных оснований) и список сведений, считающихся конфиденциальными.
П. 8 ст. 86 ТК РФ гласит, что работодатель, кроме Политики, обязан создать Положение о защите персональных данных. В этом документе более подробно описываются способы получения, хранения, использования и утилизации сведений о сотрудниках.
Положение создается в произвольной форме. Обязательно необходимо включить в него следующие разделы:
1) Общая информация. На основании какого закона создан документ. Кто и когда разработал Положение, с какой целью.
2) Схема получения и обработки данных.
3) Пошаговые инструкции по использованию данных. С указанием ситуаций, при которых их можно передавать.
4) Правила хранения сведений.
5) Процедура защиты.
6) Гарантии нераспространения.
Структура документа может меняться кадровиком в зависимости от особенностей деятельности компании. Главное — подробно описать алгоритм получения, обработки, хранения и утилизации данных. Это позволит вам максимально обезопасить себя и фирму при возникновении судебных разбирательств.
Положение заверяется печатью и подписью руководителя компании.
При приеме на работу у сотрудника обязательно запрашивается письменное согласие на обработку личных сведений. Они должны постоянно храниться в компании. Это позволит избежать проблем во время проверок.
Не менее важно и ведение журнала учета приема и передачи персональных данных. В нем фиксируются получение и передача документов, содержащих защищенные сведения.
Организация процесса защиты и хранения персональных данных
Комплекс мероприятий для защиты персональных данных устанавливается индивидуально на каждом предприятии. Ответственный сотрудник составляет список действий, закрепляет их в локальных нормативных актах. В дальнейшем руководитель и кадровые сотрудники придерживаются установленных правил при сборе, обработке, передаче, хранении и утилизации полученных сведений.
Пошаговая инструкция по организации защиты персональных данных:
- Приказом утвердите сотрудника, ответственного за защиту персональных данных. Чаще всего это HR-специалист, бухгалтер или кадровик.
- Составьте должностную инструкцию для ответственного.
- Проведите разъяснительную беседу о важности защиты личных данных и соблюдении установленных правил.
- Составьте документ о неразглашении, который подпишет ответственный сотрудник.
- Разработайте Регламент доступа к персональным данным для остальных работников.
- Создайте Положение о хранение личных данных.
- Ознакомьте всех работников с Положением под роспись.
- Опираясь на ФСБ и ФСТЭК, разработайте систему защиты персональных данных.
- Выберите подходящий уровень защиты, руководствуясь Постановлением Правительства №1119.
- Определите места для архивов.
- Установите виды защиты электронных сведений.
- Проводите проверки защиты данных не реже, чем 3 раза в год.
Ответственность за нарушение правил защиты персональных данных
Работодатель обязуется защищать персональные данные сотрудников. Разглашать их недопустимо ни при каких обстоятельствах. Выявление нарушений правил хранения и защиты во время проверки повлечет за собой административную ответственность для руководителя и дисциплинарное взыскание для ответственного сотрудника.
Если произойдет утечка информации, лицам, допустившим халатность, грозит и уголовная ответственность. Судебные процессы по таким делам в последнее время не редкость. Если работнику в результате утечки данных причинен материальный вред, работодатель обязан будет его компенсировать. Кроме этого, сотрудник вправе требовать и компенсации морального ущерба. Суммы выплат могут достигать значительных размеров. Регулируется данный вопрос ст. 137 УК.
Кроме того, выявление нарушений правил хранения повлечет за собой наложение штрафа.
Процедура организации защиты и хранения персональных данных довольно хлопотная. Однако один раз созданная, она будет служить компании много лет. Она же позволит избежать проблем во время проверок Роскомнадзора. Если возникают сложности с разработкой системы хранения, можно привлечь специалистов или обратиться за консультацией к юристам.