Перейти к основному содержанию

Работа с персональными данными

Для современного работодателя тема защиты персональных данных стала одной из самых объемных в части документооборота. Если раньше для нормального функционирования предприятия требовалась сотня различных журналов учета, то с 2011 года примерно пятая часть из них приходится на документы, связанные с обработкой и защитой персональных данных. Многие предприниматели, возвращающиеся на рынок после кризисных периодов, сталкиваются с кипой новых, подчас запутанных требований, выполнение которых требует солидных финансовых вложений, сравнимых с инвестициями в перезапуск бизнеса.

вверх

Юридические основы обработки персональных данных

Для рядового работодателя, который работает только с персональными данными своих сотрудников, основным руководством к действию служит глава 14 Трудового кодекса Российской Федерации. Она закрепляет базовые требования при обработке персональных данных, гарантии их защиты, ограничивает передачу третьим лицам и описывает права работников в этой сфере. В вопросах хранения и использования персональных данных Трудовой кодекс отсылает к специализированному законодательству, в частности, к Федеральному закону от 27 июля 2006 года номер 152-ФЗ "О персональных данных".

Предприятия, которые обрабатывают также персональные данные клиентов, находятся в более тесном взаимодействии с требованиями закона о персональных данных. В зависимости от объема и типа обрабатываемой информации они обязаны обеспечить установленные Правительством Российской Федерации уровни защищенности и строго соблюдать соответствующие требования.

Ключевые принципы обработки персональных данных сотрудников:

  1. Целесообразность и соразмерность. Обработка должна быть обоснованной и соответствовать заявленным целям, при этом базы данных следует разделять по целям обработки.
  2. Соответствие закону. Объем запрашиваемых и обрабатываемых данных должен быть основан на положениях законодательства.
  3. Прямое получение. Персональные данные следует получать непосредственно от их субъекта.
  4. Ограничение на специальные категории. Запрещено получать и обрабатывать специальные категории персональных данных (раса, национальность, политические взгляды, состояние здоровья, интимная жизнь), а также данные о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.
  5. Финансирование защиты. Работодатель обязан обеспечивать защиту персональных данных за свой счет.
  6. Совместная разработка мер. Меры по защите персональных данных должны вырабатываться совместно работниками и работодателем.
  7. Локальное регулирование. Порядок обработки, права и обязанности сторон должны быть закреплены в локальных нормативных актах работодателя.
вверх

Что относится к персональным данным работника?

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу. В кадровой практике работодатель получает от сотрудника обширный перечень документов, содержащих такую информацию:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку;
  • страховое свидетельство обязательного пенсионного страхования;
  • документы воинского учета;
  • документ об образовании и квалификации;
  • свидетельство о присвоении идентификационного номера налогоплательщика;
  • медицинское заключение;
  • водительское удостоверение;
  • справку об отсутствии судимости.

В процессе ведения кадрового делопроизводства работодатель дополнительно фиксирует и обрабатывает:

  • общие сведения о работнике (фамилию, имя, отчество, дату и место рождения, гражданство, образование, профессию, стаж работы, семейное положение);
  • сведения о воинском учете;
  • данные о приеме на работу, переводах, увольнении;
  • информацию об отпусках, поощрениях, дисциплинарных взысках;
  • сведения о заработной плате и банковских реквизитах для ее перечисления;
  • биометрические данные (фотографии).
вверх

Согласие на обработку персональных данных: когда оно необходимо?

По общему правилу обработка персональных данных требует согласия субъекта. Однако существует ряд исключений, когда согласие не требуется:

  1. Обработка предусмотрена законодательством Российской Федерации (например, передача данных в Пенсионный фонд Российской Федерации, Федеральную налоговую службу, Фонд социального страхования Российской Федерации).
  2. Обработка необходима для исполнения договора, стороной которого является субъект персональных данных.
  3. Обработка осуществляется в статистических или иных исследовательских целях при обязательном обезличивании данных.
  4. Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
  5. Обработка данных государственными органами в рамках выполнения своих полномочий.

Для работодателя ключевым исключением является обработка персональных данных работников в рамках трудовых отношений. Если объем обрабатываемых данных соответствует установленным перечням и целям, предусмотренным трудовым законодательством, а порядок обработки закреплен в локальных нормативных актах (например, в Положении о персональных данных), то отдельное согласие работника может не требоваться. Однако на практике получение такого согласия считается лучшей практикой, позволяющей избежать претензий со стороны контролирующих органов.

вверх

Практическая организация защиты персональных данных

Формируя систему защиты персональных данных, работодатель должен руководствоваться принципом минимальной достаточности: собирать не все данные, которые могут пригодиться, а только те, без которых невозможно обойтись для достижения заявленных целей.

Базовые шаги для организации защиты:

  1. Разработка локальных нормативных актов. Основным документом является Положение об обработке и защите персональных данных. Оно должно определять перечень данных, цели их обработки, права и обязанности сторон, меры защиты и порядок доступа.
  2. Назначение ответственных лиц. Приказом руководителя назначаются сотрудники, ответственные за организацию обработки и обеспечение безопасности персональных данных.
  3. Определение перечня данных и целей обработки. Четко зафиксируйте, какие именно данные вы обрабатываете и для чего.
  4. Обеспечение физической и технической защиты. Это включает в себя:
    • Ограничение физического доступа к помещениям, где хранятся персональные данные.
    • Использование сейфов и закрывающихся шкафов для хранения бумажных носителей.
    • Внедрение парольной защиты на компьютерах, использование антивирусного программного обеспечения, систем шифрования.
    • Регламентацию правил использования электронной почты и переносных носителей информации.
  5. Подписание соглашений о неразглашении. Со всеми сотрудниками, имеющими доступ к персональным данным, необходимо заключить соглашения о конфиденциальности.
  6. Ведение журналов учета. Рекомендуется вести журналы учета носителей информации, обращений субъектов персональных данных, проведения инструктажей по безопасности.
  7. Уведомление Роскомнадзора. Оператор персональных данных обязан направить уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о своем намерении осуществлять обработку персональных данных.
вверх

Уровни защищенности персональных данных

Требования к защите данных варьируются в зависимости от типа и объема обрабатываемой информации. Правительством Российской Федерации установлены 4 уровня защищенности:

  • Уровень 1 требуется при обработке специальных категорий или биометрических данных, а также при наличии высокого уровня угроз.
  • Уровень 2 применяется при обработке общедоступных данных или иных категорий в большом объеме.
  • Уровень 3 устанавливается для менее масштабных операций с персональными данными.
  • Уровень 4 является базовым и применяется в остальных случаях.

Каждый уровень характеризуется своими требованиями, начиная от назначения ответственного лица и заканчивая созданием специального структурного подразделения по безопасности и ведением электронных журналов безопасности.

вверх

Обезличивание и уничтожение персональных данных

Важными аспектами работы с персональными данными являются их обезличивание и уничтожение.

Обезличивание — это действия, в результате которых невозможно без использования дополнительной информации определить принадлежность данных конкретному лицу. Роскомнадзор рекомендует четыре основных метода обезличивания:

  • введение идентификаторов;
  • изменение состава или семантики данных;
  • декомпозиция (разделение массива данных на части);
  • перемешивание записей.

Уничтожение персональных данных должно производиться таким образом, чтобы стало невозможным восстановить их содержание. Уничтожение бумажных носителей обычно осуществляется шредированием, а электронных — с использованием специального программного обеспечения, гарантирующего безвозвратное удаление. Факт уничтожения оформляется соответствующим актом.

вверх

Политика конфиденциальности

Для организаций, работающих с клиентами и пользователями, обязательным элементом является Политика конфиденциальности (или Политика в отношении обработки персональных данных). Этот публичный документ размещается на сайте компании и должен содержать:

  • сведения о целях сбора данных;
  • перечень собираемых персональных данных;
  • способы и сроки их обработки;
  • меры, применяемые для защиты информации;
  • права субъектов персональных данных (право на доступ, исправление, удаление своих данных);
  • контактную информацию для обращений.
вверх
Оформление документов