Как составить положение о защите персональных данных работников?
Что представляют собой персональные данные работников? Какие меры должен предпринять работодатель для защиты персональных данных? Для каких целей нужно разрабатывать положение о защите персональных данных? Какие ключевые разделы должно содержать такое положение?
Практически весь бизнес в России вынужден работать с персональными данными сотрудников (по тексту – ПД). Для бизнесменов важно понимать, как грамотно обращаться с ПД, чтобы не получить штраф за нарушение закона (Федеральный закон от 27.07.2006 г. №152-ФЗ). Штраф за разглашение, передачу или другую обработку персональных данных без согласия работника для малых и микропредприятий составляет до 350 тыс. рублей, для других организаций - до 700 тыс. рублей, для должностных лиц - до 300 тыс. рублей (ст.4.1.2 и ст.13.11 КоАП РФ).
А порядок хранения и использования ПД работников компании определяет положение о защите ПД (по тексту - Положение). Положение является обязательным локальным документом компании. Какой-либо регламентированной формы Положения законодательство не устанавливает, однако данный документ должен соответствовать требованиям, предъявляемым к защите ПД работника.
Что относится к ПД работников?
Работодатель является оператором персональных данных (по тексту - ОПД).
Использование ПД работника начинается с момента его трудоустройства и в дальнейшем - при осуществлении хозяйственной деятельности компании.
Именно на ОПД возлагается обязанность по обработке ПД: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение информации.
ПД - это любая информация, которая прямо или косвенно затрагивает работника (п.2 ст.3 Федерального закона от 27.07.2006 г. №152-ФЗ, письма Минфина РФ от 19.01.2021 г. №03-01-11/2330).
В состав ПД работника входят:
-
ФИО;
-
пол;
-
дата рождения;
-
место рождения;
-
возраст;
-
гражданство;
-
сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
-
адрес места проживания;
-
паспортные данные;
-
сведения о воинском учете;
-
страховой номер индивидуального лицевого счета;
-
сведения о трудовой деятельности;
-
биометрические персональные данные;
-
сведения о семейном положении;
-
специальные персональные данные: сведения о судимости, сведения о состоянии здоровья;
-
иные сведения, которые относятся к трудовой деятельности работника.
Какие документы должны быть в компании в части защиты ПД?
Перечень конкретных документов зависят от специфики хозяйственной деятельности компаний.
Например, с какими категориями граждан работает компания - только работники или другие физические лица.
Список документов также зависит от того, работает ли компания со сведениями о физических лицах самостоятельно либо передала их на обработку другому лицу.
На практике документы, содержащие сведения о ПД, очень обширны. Среди них:
-
пакет кадровых документов, оформляемых при трудоустройстве, увольнении работников;
-
документы тестирования, анкетирования потенциального кандидата на работу;
-
личные дела работников, трудовые книжки;
-
отчеты, направляемые в государственные органы, содержащие личные сведения о работниках.
Важно знать, что руководитель компании сам определяет конкретный перечень обязательных документов с учетом требований закона.
Как правило, список документов, связанных с обработкой и защитой ПД работников выглядит так:
- Политика об обработке и защите ПД;
Это документ, который объясняет принципы работы компании с личными данными клиентов, работников, а также других граждан.
-
Положение о работе с ПД работников;
-
утвержденный список сотрудников, имеющих доступ к ПД;
-
применяемые формы согласия на обработку ПД;
-
распорядительные документы.
Например, приказ о назначении ответственного лица за организацию обработки ПД работников.
Что должно быть прописано в Положении об обработке и защите ПД?
При разработке Положения работодатель должен знать, что:
- все личные сведения, касаемые работников, необходимо получать только от него самого;
В случае запроса сведений у третьих лиц работодатель должен заручиться согласием работника.
- не все ПД можно запросить у работника (ст.10 Федерального закона от 27.07.2006 г. №152-ФЗ).
Например, нельзя запрашивать у работника ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Исключение составляют случаи, если работник принимается на работу по специальности, по которой установлены медицинские противопоказания к деятельности.
- практически вся обработка ПД работников касается обязанности обязательного раскрытия информации.
Например, передача сведений в СФР, отчетов в ИФНС.
В связи с этим, перечень случаев, когда работодатель передает информацию о работниках третьим лицам, необходимо прописывать в Положении.
Положение, как правило, состоит из следующих разделов:
-
Общие положения.
-
Цели сбора ПД.
-
Способы и сроки обработки и хранения данных.
-
Защита ПД.
-
Актуализация, изменение, уничтожение ПД работников.
Проанализируем «наполнение» каждого из разделов.
Раздел «Общие положения»
Как вытекает из названия самого раздела, в нем раскрываются основные термины, касаемые ПД, ОПД, а также прописываются права и обязанности субъекта ПД и ОПД.
Раздел «Цели сбора ПД»
Здесь раскрывается необходимость сбора той или иной информации о ПД.
Например, к целям обработки ОПД могут относиться:
-
ведение кадровой документации;
-
процесс заключения и расторжения гражданско-правовых договоров;
-
передача данных государственным контролирующим органам;
Например, при формировании отчета 6-НДФЛ, сведений, направляемых в СФР, а также данных по персонифицированному учету сотрудников, заполнение статистических отчетов, связанных с личными сведениями сотрудников.
Раздел «Способы и сроки обработки и хранения данных»
В этом разделе приводится информация о способах обработки ПД.
ОПД может осуществлять обработку ПД с использованием средств автоматизации или без использования таких средств. Обработке подлежат только те ПД, которые отвечают заявленным целям обработки.
Нельзя хранить ПД на одном материальном носителе, если цели обработки этих данных заведомо разные. В данном разделе также указываются способы хранения ПД, чтобы избежать их неправомерного использования и утечки информации.
Раздел «Защита ПД»
Компания должна разработать меры мер по защите ПД. К ним относятся: введение пропускного режима, внедрение усовершенствованных программных средств защиты информации, применение антивирусных программ.
Раздел «Актуализация, изменение, уничтожение ПД»
В этом разделе прописывается обязанность ОПД предоставить возможность ознакомления с ПД работника. И в определенный срок внести изменения в ПД, если выяснится, что они являются неполными, неточными или неактуальными.
Подведем итоги. Работодатель обязан закрепить правила обработки ПД сотрудников в локальном акте компании. Разработанное Положение должно отвечать требованиям законодательства и учитывать бизнес-процессы компании.