Защита персональных данных работников

Что такое персональные данные работника

Персональные данные работника представляют собой информацию, которая идентифицирует конкретного человека в контексте его трудовой деятельности. При этом их защита является важным аспектом соблюдения в вопросах конфиденциальности информации о сотрудниках в организации.

К персональным данным работника относятся следующие сведения:

• ФИО – полное и сокращенное имя и фамилия сотрудника.
• Дата рождения – возраст работника и дата его рождения.
• Адрес проживания – место жительства сотрудника.
• Контактная информация – номер телефона, адрес электронной почты и другие контактные данные работника.
• Паспортные данные – серия и номер паспорта, дата выдачи и орган, выдавший документ.
• ИНН – индивидуальный налоговый номер работника.
• СНИЛС – страховой номер индивидуального лицевого счета в системе обязательного пенсионного страхования
• Семейное положение – информация о супруге, детях и других членах семьи работника (необходима, к примеру, для оформления налоговых вычетов).
• Образование и квалификация – учебные заведения, специальность, научные степени, курсы повышения квалификации и другая информация об образовании сотрудника.
• Трудовая и финансовая информация – данные о местах работы, должностях, заработной плате, стаже работы, зарплатных начислениях.

Защита персональных данных работников является обязательным требованием законодательства. Организации обязаны обеспечить их безопасность и конфиденциальность, предотвращать их утечку, несанкционированный доступ к ним и использование.

При этом ряд сведений о гражданине не может истребоваться работодателями, поскольку они непосредственно не имеют отношения к осуществлению трудовой деятельности. К примеру, факты его участия в общественных и политических организациях.

Ряд вопросов также вызывает требование ряда работодателей о предоставлении медицинских данных. Так, они могут требовать данные с медосмотров и использовать их для оценки возможности исполнения трудовых функций. Факт наличия заболеваний и состояний, не влияющих на возможность осуществления той или иной работы, не является предметом персональных данных, которые необходимо передавать в кадровую службу.

Кроме этого, факт наличия судимости или ее отсутствия может быть подтвержден только в тех случаях, когда это требуется законом. К примеру, соответствующие справки предоставляются сотрудниками, работающими с несовершеннолетними.

Способы получения персональных данных

В соответствии со ст. 86 ТК РФ, все персональные данные, которые требуются работодателю от сотрудника, могут быть получены от него лично. При этом оговаривается, что в случае необходимости их получения от третьих лиц необходимо согласие сотрудника, оформленное в письменном виде.

Формы обработки персональных данных

Существует несколько форм обработки персональных данных работников, которые включают в себя следующие процессы:

1. Сбор. Работодатель имеет право собирать только ту информацию о своих сотрудниках, которая необходима для реализации трудовых функций. Это ФИО, контактные данные, дата рождения, данные об образовании, опыте работы и другие необходимые сведения.

2. Хранение данных. Персональные данные работников должны быть защищены и храниться в соответствии с требованиями законодательства, что включает в себя применение безопасных методов хранения информации и ограниченный доступ к ней.

При этом сведения могут храниться в следующем виде:

• Бумажном. На каждого сотрудника заводится личное дело, в котором хранятся копии его документов, а также экземпляр трудового договора. Доступ к нему является строго ограниченным, работать с личными делами могут работники кадровой службы или бухгалтерии.
• Электронном. Все чаще данные хранятся в электронных базах данных, используемых организациями. Особенно это касается сведений о банковских счетах сотрудников, начислениях и иных финансовых сведениях.

3. Использование. Работодатель должен использовать персональные данные своих сотрудников только в рамках выполнения ими трудовых обязанностей и для других законных целей. Любое неправомочное использование может повлечь за собой привлечение виновных лиц к ответственности (вплоть до уголовной).

4. Передача. Передача персональных данных работника третьим лицам должна осуществляться только при наличии согласия сотрудника или в соответствии с законодательством.

5. Уничтожение. Персональные данные работника должны быть уничтожены после окончания их использования или по достижении срока хранения, установленного законодательством. Он составляет 30 дней в случаях, когда сотрудник отозвал свое согласие на обработку.

Помимо прочего, работодатели должны также обеспечить своим работникам доступ к персональным данным, информировать их о целях обработки и обращаться за согласием в случае необходимости.

Передача данных

Порядок передачи данных установлен в ст. 88 ТК РФ. Они не могут передаваться третьим лицам без письменного на то согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угроз жизни и здоровью, а также по иным основаниям, предусмотренным к законам. К примеру, сведения могут быть переданы правоохранительным органам по соответствующему запросу.

Объем и характер данных, передаваемых третьим лицам, определяется их непосредственными обязанностями.

Локальные акты

В целях исполнения соответствующего законодательства в организации должны быть разработаны следующие локальные акты, определяющие порядок работы с персональными данными:

• Положение о защите персональных данных.

В нем прописываются сведения, которые подлежат защите, регламент работы с ней, перечень лиц, которые имеют доступ к данным. Кроме этого указываются меры дисциплинарной ответственности для лиц, нарушивших условия Положения.

• Обязательство о неразглашении.

Его подписывают должностные лица, которые непосредственно работают с персональными данными сотрудников (бухгалтера, кадровики).

• Согласие на обработку данных.

Данную форму подписывают все сотрудники, принимаемые на работу.

Ответственность за несоблюдение требований о защите персональных данных

В случае нарушения требований законодательства о защите персональных данных ответственные должностные лица могут быть привлечены к различным формам ответственности.

1. Дисциплинарная. Ее меры включают в себя замечание, выговор или увольнение по соответствующим основаниям.
2. Административная. Несоблюдение требований законодательства о персональных данных является административным правонарушением. Ст. 13.11 КоАП РФ выделяет различные административные составы и меры наказания. К примеру, обработка данных без согласия субъекта влечет за собой штраф для должностных лиц в размере до 300 тыс. руб., а для организаций – до 700 тыс. руб. Повторное же нарушение ужесточает наказание. Так должностные лица обязаны будут заплатить штраф до 500 тыс. руб., а юридические лица – до 1,5 млн.
3. Уголовная. Ответственность за незаконный сбор и распространение частных сведений о гражданина предусмотрена в ст. 137 УК РФ. Максимальная санкция согласно ч. 1 ст. 137 УК РФ предусматривает наказание в виде лишения свободы на срок до двух лет. Если же деяние совершено с использованием служебного положения, то максимальное наказание представляет собой лишение свободы на срок до 4 лет.

Кроме этого, субъекты персональных данных в судебном порядке вправе требовать компенсации фактического и морального вреда, причиненного им нарушением действующего законодательства.

Таким образом, защита персональных данных работников является крайне важной задачей для любой компании. Нарушение конфиденциальности может вызвать серьезные проблемы и негативно отразиться не только на репутации компании, но и повлечь за собой дисциплинарную, административную и уголовную ответственность. Поэтому следует принимать все необходимые меры для обеспечения безопасности информации о сотрудниках.