Работа с персональными данными в организации

Все действия руководящего состава предприятия при работе с персональными данными сотрудников: их сбор, дальнейшая систематизация, любая запись и удаление, а также распространение - называются обработкой данных. Корректное налаживание обработки личных сведений и соблюдение условий Российских законопроектов важны в целях защиты прав и приватность персональных данных.

Что относится к персональным данным сотрудника


Персональные сведения о сотрудниках содержат любую информацию, которая может относиться к конкретному сотруднику и позволяют его идентифицировать, как указано в ст.3 152-ФЗ о персональных данных. Данные сведения могут содержать:
  • Имя и фамилию - основные персональные данные, которые
идентифицируют работника.
  • Контактная информация - должна включать адрес проживания,
номер телефона и электронную почту.
  • Дата рождения - является личной информацией и
используется для подтверждения его личности.
  • Паспортные данные - номер паспорта, дата выдачи, место выдачи
и другие сведения, указанные в паспорте.
  • Идентификационные номера - это номера социального
страхования, налоговых идентификационных номеров или других идентификационных кодов.
  • Финансовая информация - банковские реквизиты, информация о
зарплате, налоговые данные и другая финансовая информация, связанная со счетами и выплатами сотрудника.
  • Информация о здоровье - мединформация, которая
собрана в рамках медицинского обследования и страхования работника.
  • Информация о работе - содержит данные о Трудовом договоре,
должности, отделе, рабочем графике, трудоустройстве и любую другую информацию, связанную с трудовой деятельностью сотрудника.

Важно всегда помнить, что личные данные сотрудников являются конфиденциальными и должны обрабатываться в соответствии с законопроектами о защите персональных сведений, прописанных в Федеральном законе от 27.07.2006 № 152-ФЗ(ред. от 06.02.2023) “О персональных данных”. Организации должны следовать принципам конфиденциальности, обеспечивать безопасность личных данных и получать согласие работников на обработку их личных данных.

Содержание

  1. Порядок работы с персональными данными в организации
2.1 Когда требуется согласие работника
2. Согласие работника на обработку персональных данных
3. Ответственность за нарушения в работе с ПДн
2.2 Когда согласие работника не требуется
4. Как передать ведение персональных данных на аутсорс

Порядок работы с персональными данными в организации

Чтобы организовать безопасную обработку персональных сведений и избежать нарушений, необходимо соблюдать определенные правила:

  • получать согласие субъектов персональных данных на обработку их информации в письменной или другой форме;
  • определять четкие и конкретные цели обработки персональных данных и использовать их только в рамках этих целей;
  • обеспечивать адекватную защиту персональных данных от несанкционированного доступа, изменения, уничтожения или раскрытия. Внедрять технические и организационные меры безопасности, такие как шифрование данных, контроль доступа и резервное копирование;
  • информировать субъектов персональных данных о целях обработки, категориях обрабатываемых данных, сроках их хранения, а также о правах, которыми они обладают в отношении своих данных;
  • ограничить доступ к персональным данным только уполномоченным лицам, которые имеют соответствующие права доступа. Разграничивать доступ на основе принципа "необходимости знания";
  • обучить свой персонал порядку работы с персональными данными, осведомить их о требованиях законодательства и указать на важность соблюдения конфиденциальности персональных данных;
  • проводить регулярные аудиты и мониторинг процессов обработки персональных данных, чтобы убедиться в соблюдении требований законодательства;
  • при передаче персональных данных третьим лицам (аутсорсинг, облачный провайдер) заключать соответствующие соглашения о конфиденциальности и защите данных;
  • вести необходимую документацию, такую как политика обработки персональных данных, соглашения о конфиденциальности и протоколы аудита.
В общем случае, работодатель должен получить согласие работника на обработку его персональных данных, если такая обработка осуществляется. Однако, в некоторых случаях согласие может и не требоваться. Ниже приведены ситуации, когда требуется или не требуется согласие работника на обработку его персональных данных.

Когда требуется согласие работника:

1. Если работодатель планирует обрабатывать персональные данные работника на основе его согласия, то согласие должно быть получено. Это может включать ситуации, когда работник соглашается на использование своих данных для целей рекрутинга, оформления трудового договора, обучения или маркетинга.

Когда согласие работника не требуется:

1. Если обработка персональных данных работника необходима для исполнения Трудового договора или предварительных мер перед его заключением, согласие не требуется.
Например, работодатель может обрабатывать персональные данные работника в целях выплаты заработной платы или предоставления социальных льгот.

Согласие работника на обработку персональных данных

2. Если работодатель планирует обрабатывать чувствительные персональные данные работника, такие как медицинская информация или информация о расовой принадлежности - требуется явное и письменное согласие работника на такую обработку.

2. Если обработка персональных данных работника необходима для выполнения законных обязательств работодателя, согласие может не требоваться.
Например, работодатель может обрабатывать персональные данные работника в целях налогообложения или соблюдения трудового законодательства.

Частые нарушения при работе с персональными данными

При обработке персональных данных могут возникать различные нарушения, которые могут варьироваться в зависимости от конкретных обстоятельств и требований законодательства. Чаще всего возникают следующие нарушения:


  • отсутствует согласие, или же оно недостаточно информировано. Например, не информирует о целях обработки;
  • неправомерная обработка - работодатель обрабатывает персональные данные вопреки законным требованиям или без законных оснований. Например, обработка персональных данных, которые не являются необходимыми для достижения целей обработки;
  • нарушение безопасности данных, которые связаны с недостаточной защитой системы, слабыми паролями, утечками данных и другими факторами;
  • хранение персональных данных дольше необходимого;
  • несоблюдение прав субъектов данных. Например, право на доступ, исправление или удаление персональных данных;
  • трансграничная передача данных без соответствующих мер безопасности - работодатель передает персональные данные за пределы страны без применения необходимых мер безопасности и согласно требованиям законодательства и др.

За нарушения закона о персональных данных работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая - за непредоставление информации; вторая - специальная, именно за невыполнение требований к защите личной информации граждан.

Законодательство может предусматривать административную ответственность для работодателей, которые нарушают требования по обработке персональных данных. Нарушения могут повлечь штрафные санкции до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ или административные наказания, согласно гл. 14 Трудового кодекса.
В некоторых случаях, серьезные нарушения в обработке персональных данных могут быть квалифицированы как преступление.
Например, незаконный доступ к персональным данным, их незаконное использование или раскрытие могут повлечь уголовную ответственность.

Регулирующие органы по защите персональных данных могут налагать административные штрафы на работодателей, нарушающих требования по обработке персональных данных. Также судебные органы могут применять штрафы, основанные на решениях по искам от пострадавших субъектов данных - до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Ответственность за нарушения в работе с ПДн


При самостоятельной работе с персональными данными в организации можно столкнуться с трудностями, поскольку законодательство о защите персональных данных сложно и изменчиво. Это требует от организаций постоянного обновления своей политики и процедур, регулярного обновления системы и программного обеспечения, на что требуются значительные ресурсы.

При передаче работы с ПДн на аутсорс, многие проблемы отпадут.
Аутсорсинг позволяет воспользоваться опытом и экспертизой провайдера, который специализируется в обработке персональных данных. При этом сокращается нагрузка на внутренние ресурсы организации (время, деньги и технические ресурсы). Это может быть особенно полезным для небольших организаций, которые могут не иметь достаточных ресурсов для самостоятельной работы с ПДн.

При передаче ведения персональных данных провайдеру аутсорсинга составляется Контракт, который определяет условия сотрудничества, включая цели, обязанности, сроки, распределение ответственности, уровень безопасности и согласованные меры защиты персональных данных. Подготавливается и передается необходимая информация, в том числе о внутренних процессах и политике в отношении безопасности персональных данных.


Как передать ведение персональных данных на аутсорс

Понравилась статья? Поделиться с друзьями: