Согласно совместному исследованию компаний HeadHunter и «Инфосистемы Джет» лишь 8% сотрудников согласились бы передать свои биометрические данные работодателю, однако все больше организаций стали прибегать к использованию таких данных. В результате работодатели должны создать условия для соблюдения действующего законодательства о защите персональных данных сотрудников.
Биометрические данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. К таким данным относятся: генный код (ДНК), отпечатки пальцев, радужная оболочка глаз, голос, изображение лица человека, полученные с помощью фото- и видеоустройств.
Обработка данных должна осуществляться с письменного согласия работника. Однако такое согласие не требуется для передачи персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд. Но письменное согласие потребуется для получения персональных данных работника у третьей стороны, а также для передачи данных работника третьим лицам, кроме тех предусмотренных федеральными законами случаев, например, для целей исполнительного производства или расследования преступлений. Равнозначным содержащему собственноручную подпись согласию в письменной форме на бумажном носителе признается согласие в электронном виде, подписанное электронной подписью.
От работодателя требуется составить и утвердить Положение о защите персональных данных работников. Оно должно содержать правила обработки, хранения и использования персональных данных сотрудников. Важно, что Положение о работе с персональными данными работников не равнозначно Политике обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех персональных данных.
Обратите внимание, что работники и их представители должны быть под роспись ознакомлены с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Можно собрать подписи на обратной стороне акта. Одна из частых ошибок – наличие утвержденного Положения без подписей всех сотрудников об ознакомлении с данным документом.
Следует помнить, что должна быть соблюдена цель обработки персональных данных, т. е. необходимо получить только сведения, необходимые для реализации трудовой деятельности.
Работодателем должно быть назначено лицо, ответственное за организацию обработки персональных данных, отвечающее за сбор согласий с работников и сохранность данных как на бумажных, так и электронных носителях. Важно отдельным пунктом или разделом Регламента допуска работников к обработке персональных данных прописать порядок прекращения допуска: уволившиеся или переведенные на другую должность сотрудники будут автоматически лишаться права доступа к ним.
Также следует под роспись предупреждать сотрудников о видеонаблюдении в рабочих помещениях. Для установления гарантий соблюдения прав работников и сотрудников должны быть приняты внутренние документы, которые бы предусматривали порядок и сроки хранения видеозаписей, а также назначены ответственные лица, имеющие доступ к системе видеонаблюдения. Кроме того, нужно проинформировать о системе видеонаблюдения путем размещения табличек в зонах видимости камер.
Сразу после достижения цели обработки персональных данных Работодатель обязан обезличить и уничтожить их. Общий порядок уничтожения носителей, которые содержат персональные данные, не закреплен законом, поэтому работодатель вправе установить такой порядок в локальном акте организации.
Обращаем внимание, что предусмотрена возможность пройти самопроверку соблюдения законодательства о защите персональных данных на сайте Роструда. Данная проверка бесплатная и наложение штрафов за найденные нарушения не влечет.