Сегодня на повестке дня защита персональных данных (далее – ПДн), а точнее вопрос, интересующий пользователей обучающе-контролирующих систем «ОЛИМПОКС» и «ОЛИМПОКС:Предприятие» (далее – ОЛИМПОКС): как обеспечивается защита ПДн при передаче страхового номера индивидуального лицевого счета (СНИЛС) в реестр обученных лиц по охране труда (далее – реестр обученных лиц) с использованием ОЛИМПОКС? Ответим на это, а также сопутствующий вопрос: какую информацию необходимо вносить в реестр обученных лиц, если у работника организации (иностранного гражданина), прошедшего проверку знания требований охраны труда, СНИЛС отсутствует?
Защита персональных данных
СНИЛС работника, прошедшего обучение по охране труда, как и другая информация, передаваемая в реестр обученных лиц, относится к ПДн. Выделять СНИЛС работника из всего круга его ПДн не имеет смысла. Поэтому, ответим на вопрос защиты ПДн при использовании ОЛИМПОКС в целом для всех ПДн работника, включая СНИЛС.
Организации, которые собирают, хранят и обрабатывают ПДн, должны выполнять требования Федеральный закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ). Ключевым его понятием в рассматриваемом вопросе является оператор, который организует или осуществляет обработку ПДн. Оператором выступает среди прочих юридическое лицо (организация, обрабатывающая ПДн), то есть пользователь ОЛИМПОКС.
Выполнение требований закона № 152-ФЗ должны обеспечивать не только информационные системы самой компании, но и информационная система ОЛИМПОКС. Обеспечение безопасности ПДн при их обработке в информационной системе ПДн ОЛИМПОКС достигается, в частности, применением средств защиты информации (далее – СЗИ), прошедших в установленном порядке процедуру оценки соответствия. Оценка соответствия в данном случае выступает своего рода гарантией того, что СЗИ отвечают установленным требованиям. Важно отметить, что нормативные правовые акты не устанавливают форму такой оценки соответствия. В связи с чем оператор может воспользоваться СЗИ, прошедшими одну из возможных форм оценок соответствия.
Компанией «ТЕРМИКА» проведена упомянутая оценка соответствия. По результатам оценки эффективности мер по обеспечению безопасности ПДн, реализуемых системой защиты ПДн, проведена проверка выполнения требований к защите ПДн при их обработке в информационной системе ПДн ОЛИМПОКС, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» для 4 уровня защищенности ПДн. Оформлен протокол. В случае необходимости копия протокола может быть предоставлена организации (пользователю ОЛИМПОКС) по их запросу. Таким образом, ОЛИМПОКС является готовым решением для компаний, которым нужно обеспечить соответствие информационной системы требованиям закона № 152-ФЗ.
Одновременно с этим для реализации защиты ПДн (включая СНИЛС) оператору (организации – пользователю ОЛИМПОКС) необходимо обеспечить и другие требования, связанные с этим. В частности, оформить согласие работника на обработку ПДн (отдельным документом или включить условие о согласии в трудовой договор). Это необходимо сделать, так как ПДн работника не допускается сообщать без его письменного согласия (есть исключения) (статья 88 Трудового кодекса Российской Федерации). Также при обработке ПДн оператор обязан среди прочего принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом № 152-ФЗ и другими нормативными правовыми актами (есть исключения) (статья 18.1 закона № 152-ФЗ). К таким мерам, в частности, относятся:
- назначение ответственного за организацию обработки ПДн;
- издание документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн;
- осуществление внутреннего контроля и аудита соответствия обработки ПДн закону № 152-ФЗ (другим нормативным правовым актам), требованиям к ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора.
Таким образом, ОЛИМПОКС является готовой системой (помощником), которая (который) обеспечивает формирование электронного документа (содержащего ПДн работников), предназначенного для его импортирования в реестр обученных лиц, при условии реализации оператором всех установленных для него обязанностей.
СНИЛС
У каждого работника, поступающего на работу, должен быть документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа (часть 1 статьи 65 Трудового кодекса Российской Федерации). Исключением является случай, когда у человека не открыт индивидуальный лицевой счет (далее – ИЛС). Такое возможно при первом его поступлении на работу. Работодатель в этом случае представляет установленные сведения о таких работниках в Фонд пенсионного и социального страхования Российской Федерации (далее – фонд) (пункт 2 статьи 9 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»). В свою очередь каждый гражданин, поступающий на работу, предъявляет работодателю документы, подтверждающие сведения о нем, и заполняет соответствующие формы. Другими словами, СНИЛС или уже есть, или его необходимо получить (это вопрос времени, а точнее установленных сроков его получения).
Минтруд России актуализировал правила персонифицированного учета. 2 июня 2023 года вступила в силу Инструкция о порядке ведения индивидуального (персонифицированного) учета сведений о зарегистрированных лицах, утвержденная приказом Минтруда России от 03.04.2023 № 256н (далее – инструкция). Важно отметить, что регистрации на территории Российской Федерации подлежат граждане Российской Федерации, иностранные граждане, а также лица без гражданства (далее – граждане) (пункт 4 инструкции). Если у гражданина, впервые поступающего на работу, не открыт ИЛС, работодатель представляет в орган фонда анкету зарегистрированного лица не позднее рабочего дня, следующего за днем приема гражданина на работу или заключения с гражданином соответствующего договора (пункт 10 инструкции).
В свою очередь территориальный орган фонда в течение 5 рабочих дней со дня получения анкеты зарегистрированного лица и установленных инструкцией сведений принимает решение об открытии ИЛС либо об отказе в регистрации зарегистрированного лица (пункт 15 инструкции). Документом, подтверждающим регистрацию, является уведомление о регистрации в системе индивидуального (персонифицированного) учета, содержащее сведения о СНИЛС (далее – уведомление о регистрации). Указанное уведомление о регистрации направляется гражданину способом, указанным им при обращении. Таким образом, если иностранный гражданин устроился к работодателю, то при необходимости, он в ближайшее время получит уведомление о регистрации, содержащее СНИЛС, которое среди прочей информации следует передать в реестр обученных лиц.
Спасибо, что дочитали статью до конца. Не забудьте поставить лайк и подписаться на наш канал.
Присоединяйтесь к нам на наших страницах в соцсетях ВК и ОК. Мы также завели канал в Telegram (@olimpoksclub).
Другие статьи на нашем канале:
