- •Глава 1. Понятие защиты персональных данных работника и их правовое регулирование.
- •Понятие защиты персональных данных работника
- •1.2. Правовое регулирование защиты персональных данных работника
- •Глава 2. Защита персональных данных работника
- •2.1. Обработка персональных данных работника
- •Обработка персональных данных работников
- •Общие положения по использованию персональных данных работников
- •Что относится к персональным данным работника?
- •Согласие на обработку персональных данных работников
- •Ответственность, предусмотренная за нарушение требований законодательства о персональных данных
Обработка персональных данных работников
Работа с персональными данными работников начинается при их приеме на работу в кадровом отделе. Формируется база (личные дела) работников с их личными данными, сведениями об их родственниках и т.д. Затем этими данными пользуются специалисты бухгалтерских служб для учета труда и заработной платы, начисления страховых взносов и налогов, формирования и представления отчетности в различные уполномоченные органы, передачи такой информации через телекоммуникационные сети, размещения ее в Интернете на сайтах учреждений и т.д. Все эти операции прямо или косвенно связаны с персональными данными сотрудников. О том, что необходимо учитывать при их использовании, расскажем в статье.
Общие положения по использованию персональных данных работников
Основными нормативными актами, регламентирующими правила использования и защиты персональных данных работников, являются:
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- Трудовой кодекс (гл. 14 "Защита персональных данных работника").
Согласно п. 1 ст. 3 Федерального закона N 152-ФЗ персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), то есть позволяющая его идентифицировать. Исходя из данного определения к субъектам персональных данных в полной мере можно отнести работников учреждения.
Работодатель, в свою очередь, выступает в роли оператора, то есть юридического лица, осуществляющего обработку персональных данных, а также определяющего цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними (п. 2 ст. 3 Федерального закона N 152-ФЗ).
Здесь же отметим, что согласно п. 3 ст. 3 Федерального закона N 152-ФЗ обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без него, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с Федеральным законом N 152-ФЗ можно выделить основные принципы и условия использования и обработки персональных данных:
- обработка персональных данных должна осуществляться с согласия субъекта персональных данных;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки;
- персональные данные не должны раскрываться операторами (иными лицами, получившими доступ к таким данным) третьим лицам и не могут быть распространены без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- обрабатываемые персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.
В целях соблюдения и реализации перечисленных принципов и условий использования персональных данных оператор (работодатель) обязан (ст. 18.1 Федерального закона N 152-ФЗ):
а) назначить ответственного за организацию обработки персональных данных;
б) издать следующие локальные акты:
- общий документ, определяющий политику оператора в отношении обработки персональных данных. Как правило, таким документом является положение о персональных данных;
- локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, в том числе перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс их уничтожения. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
- локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области использования персональных данных, устранение последствий таких нарушений;
в) обеспечить принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона N 152-ФЗ;
г) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора;
д) оценить вред, который может быть причинен работникам в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным законом;
е) ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к их защите, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников;
ж) ознакомить работников (их представителей) под расписку с документами, устанавливающими порядок обработки их персональных данных, а также с правами и обязанностями работников в этой области (п. 8 ст. 86 ТК РФ).