Защита персональных данных работника

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Юридической особенностью защиты персональных данных работника любого учреждения является общая унификация данного процесса. Независимо от того, где работает наемный сотрудник, если он сталкивается с защитой персональных данных, то на него распространяется одноименный Федеральный закон № 152. Третья статья этого Закона гласит, что в правовой практике персональными данными считают любую информацию, которая идентифицирует физическое лицо.

Из чего состоят персональные данные

Обрабатываемые персональные данные работника регламентируются Основным Законом РФ, ТК РФ и прочими частями федерального законодательства. В целом документацию по этому вопросу можно условно разделить на две большие категории:

  • предоставляемая самим работником;
  • собранная работодателем.

Первая категория предъявляется в момент заключения трудового договора. К таким ПДн работника относятся:

  • ФИО, номер телефона, адрес проживания, прописки;
  • идентификационные страховые документы;
  • трудовая книжка;
  • пенсионное удостоверение;
  • документы, подтверждающие основания для предоставления льгот;
  • дипломы и иные подтверждающие образование и наличие профессии документы;
  • фотокарточки;
  • документы относительно воинского учета;
  • документы, подтверждающие семейное положение и т. д.

Каждый пункт этой категории попадает под основной принцип защиты персональных данных работника – обеспечение максимальной конфиденциальности. Оперировать такими сведениями могут только государственные силовые структуры, исключительно в условиях необходимости и в большинстве случаев – с прямого разрешения работника.

Второй категорией ПДн занимается работодатель. Сюда входят все бумаги, касающиеся карьеры и финансового положения штатных и внештатных сотрудников. Вторая категория отражает любые изменения на рабочем месте сотрудника, фиксацию времени проведения отпусков, больничных листов, базовую ставку (если таковая есть), тарифную сетку на сдельные работы (если таковые есть), сверхурочные, нематериальные поощрения штатного персонала, как индивидуальные, так и групповые. Вся эта информация, за очевидным исключением финансовой, обычно носит меньшую степень конфиденциальности.

Защита персональных данных работника

Кроме ФЗ № 152 важнейшим юридическим документом в отношении соблюдения законности при использовании персональных данных является Трудовой кодекс РФ. Его 14-я глава регламентирует требования по защите персональных данных, а также ответственность при нарушениях, связанных с ПДн работника. В статье 86 ТК РФ указано, что работодатель наделен полномочиями по сбору материалов, которые находятся в плоскости этих трудовых отношений, он не может произвольно изымать и хранить данные, которые никак не относятся непосредственно к рабочему процессу. Также эта статья определяет требования, обеспечивающие права и свободы граждан, которые должен гарантировать работодатель во время обработки ПДн работника:

  • эти действия возможны только для целей, обеспечивающих содействие работнику при его трудоустройстве, прохождении обучения, продвижении по карьерной лестнице, выполнении мероприятий по обеспечению личной безопасности сотрудников предприятия, проведении контроля количества и качества его трудовой деятельности;
  • оператор должен соблюдать требования Конституции РФ, федерального законодательства во время установления количества и видов обрабатываемых ПДн;
  • все ПДн сотрудника нужно получать непосредственно от него. Если нет возможности личной передачи работником своих данных, допускается их получение от иной стороны, если сотрудник заранее оповещен о выполнении таких действий оператором, для этого нужно получить его согласие в письменном виде;
  • оператор обязан уведомить сотрудника о целях, вариантах получения его личных сведений и их источниках, а также о последствиях отказа сотрудника предоставить в письменном виде свое согласие на получение его ПДн;
  • оператор не имеет права на получение и обработку информации о сотруднике, которая относится к категории специальной в соответствии с законодательством РФ (раса, национальность, интимные данные, политические взгляды, религиозные взгляды и др.);
  • оператор также не может получать, выполнять обработку информации о работнике, о его принадлежности к общественным организациям, его профсоюзной работе;
  • принятие решений, связанных с интересами сотрудника, оператор не может брать за основу его персональные данные, которые были получены только по электронным каналам или с использованием автоматизированной обработки;
  • оператор обязан создать действенную защиту ПДн работника от незаконного применения, утраты. Для этого должны использоваться необходимые средства работодателя, а все действия выполняться в соответствии с требованиями ТК РФ и иных ФЗ;
  • оператор должен ознакомить сотрудника под роспись с документацией, определяющей порядок работы с ПДн;
  • оператор, работник, их законные представители совместно разрабатывают меры по защите ПДн работников.

Требования к хранению и применению ПДн на предприятии

Процедура хранения, применения ПДн работников должна быть установлена оператором. При этом требуется соблюдать нормы ТК РФ, других ФЗ.

Передача ПДн работника возможна при соблюдении требований:

  • не допускать разглашения посторонним лицам ПДн работника, если отсутствует его письменное согласие. Исключение – угроза жизни, здоровью сотрудника, иные случаи, описанные законодательством;
  • не разглашать ПДн с коммерческой целью, если субъект не предоставит письменного разрешения;
  • уведомлять лица, использующие персональные данные, о возможности их применения только для цели, для которой они сообщаются. Также оператор обязан потребовать от таких лиц подтверждений соблюдения данного правила;
  • получатели ПДн работника обязаны соблюдать конфиденциальность при работе с этой информацией;
  • передавать ПДн работника в организации, руководствуясь локальным нормативом, с которым сотрудники должны быть ознакомлены под роспись;
  • выдача персональной информации возможна только лицам, получившим от работодателя специальные полномочия. Такие данные выдаются им в объеме, необходимом для выполнения установленных функций;
  • не требовать данные о здоровье сотрудника, кроме информации, относящейся к возможности выполнения им его производственных, должностных обязанностей.

Права работников в отношении ПДн

Работники имеют право на защиту персональных данных, а также на:

  • получение полных сведений об их ПДн, целях их обработки;
  • получение свободного доступа к личной информации, копий своих ПДн, кроме предусмотренных законодательством случаев;
  • выбор своего представителя для защиты личных данных;
  • исправление по требованию работника неправильных, неполных, неактуальных, полученных, обработанных с нарушениями персональных данных. Если оператор отказывает работнику в этом праве, последний может письменно заявить работодателю о несогласии и обосновать его. Оценочные ПДн работник может дополнить заявлением, содержащим его точку зрения;
  • возможность обжаловать в суде какие-либо незаконные действия, бездействие работодателя в отношении обработки и защиты его ПДн.

Юридические санкции за нарушение защиты персональных данных работника

Работа с персональными данными предполагает наказания за пренебрежение кибербезопасностью, нарушение правил ведения традиционного (бумажного) документооборота как для наемного сотрудника, так и для работодателя. Строгость санкций зависит от тяжести совершенного правонарушения.

Виды ответственности, возлагаемые на работника в случае нарушений:

  • материальная. Наступает в случае разглашения некоторых персональных данных других работников. Составляет полную сумму причиненного ущерба. Обычно применяется сравнительно редко ввиду сложности точной оценки этого ущерба;
  • дисциплинарная. Наступает, если работник разгласил коммерческую тайну или личную информацию, которую он получил в трудовом процессе. Данное взыскание накладывается работодателем. В случае, когда оператор определяет, что вина сотрудника сравнительно невелика, допускается возможность вынесения выговора без увольнения работника;
  • административная. Если порядок процедуры работы с данными нарушен, предусматривается наложение административного штрафа по КоАП РФ;
  • уголовная. Подробно этот вид ответственности прописан в статье 137 УК РФ и накладывается в виде штрафа в размере до 200 тыс. рублей, дифференцированного по тяжести срока заключения либо общественных работ.

Четкое знание и выполнение всех требований законодательства, касающегося обработки персональных данных работника, позволит избежать любого вида ответственности как оператору, так и сотруднику.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними