За работодателями, являющимися операторами персональных данных, законодательно закреплены правила по работе с ПДн сотрудников. Собираемые и хранимые данные подчиняются обработке в соответствии с 152-ФЗ.
Что является персональными данными?
Федеральный Закон «О персональных данных» считает персональными те сведения, по которым производится идентификация физического лица, а именно:
- ФИО;
- место и дата рождения;
- образование;
- место регистрации;
- семейные связи;
- доход;
- оценка профессиональной пригодности;
- факты биографии;
- перечень предыдущих мест службы или работы.
Запрещается предавать огласке вопросы здоровья, национальной принадлежности, убеждений (религиозный, политических), интимных подробностей личной жизни.
Перечень исключений зафиксирован в ч.2 ст. 10 Закона. К обработке допускается лишь информация, необходимая для заключения трудового договора.
Любые действия с ПДн, будь то систематизация, использование или удаление, считается «обработкой». Для сохранности данных требуется обеспечивать всестороннюю защиту, включающую физическую, техническую и административную компоненты. Всего существует четыре уровня защиты, отличающихся по объемам обрабатываемой информации, категориям данных и типам угроз.
За соблюдение Закона следит Роскомнадзор, налагая при несоблюдении регламента различные виды ответственности – от дисциплинарной до уголовной. Работа по защите данных ведется строго в соответствии с разработанными на предприятии инструкциями. Механизмы защиты ПДн выработаны ФСБ и ФСТЭК, и строгое следование им сводит до минимума утечку информации.
Что дает согласие на обработку ПДн?
Получение информации о сотруднике из дополнительных источников, передача ее третьим лицам возможна только после получения письменного разрешения на обработку за подписью субъекта ПДн. При несогласии сотрудник имеет право аннулировать право на обработку данных.
Согласие работодатель должен получать письменно непосредственно у субъекта данных, у законных представителей (при наступлении недееспособности), у наследников (в случае смерти). Обязательно информировать о целях, способах и последствиях использования полученной информации. Не требуется согласие лишь для той части информации, которая необходима для реализации положений трудового договора.
Что входит в перечень мероприятий по защите ПДн?
Во время обработки и защиты данных, работодатель обязан использовать полученную информации строго в рамках заявленной цели (трудоустройство, получение образование, карьера, безопасность, контроль качества работы и т.п.).
Работодатель должен использовать следующий алгоритм защиты данных:
- после утверждения документа о регламенте правил обработки и хранения ПДн довести его до всех сотрудников;
- зафиксировать в акте перечень используемых данных о работнике;
- назначить ответственных за работу с ПДн лиц;
- вести сбор письменных разрешений на обработку ПДн и учет их движения;
- определять места хранения исходя из уровня необходимой защиты.
За работодателем закрепляется право на обработку ПДн уволенных сотрудников, если они проводятся в рамках бухгалтерского или налогового учета. Также предприятие имеет право хранить копии трудовых книжек. За сотрудником (в т.ч. бывшим) закрепляется право потребовать уничтожить его документы.
Подробнее: https://integrus.ru/blog/it-decisions/obrabotka-personalnyh-dannyh-rabotnikov.html