Разграничение доступа к персональным данным — это необходимая мера для обеспечения их сохранности и недопущения к охраняемой информации посторонних лиц. О мерах, предпринимаемых для разграничения доступа к таким данным в организации, и расскажет предлагаемая нами статья.

Цели и способы разграничения доступа к данным сотрудников организации

Хозяйственная деятельность организации предполагает обработку персональных данных, которые собираются для разных целей. Например, для ведения кадровой документации, исполнения обязанностей перед контрагентами, контроля доступа на охраняемые объекты и т. д. Часть 3 статьи 5 закона «О персональных данных» от 27.07.2006 № 152-ФЗ запрещает объединение баз данных или иных носителей информации, содержащих личные данные, цели обработки которых различны. Часть 1 статьи 19 ФЗ № 152 обязывает организацию также обеспечивать все необходимые и достаточные меры для защиты собираемых данных, в том числе недопущение доступа к ним посторонних лиц.

Исполнение перечисленных выше требований достигается за счет определения прав сотрудников организации на доступ к носителям информации. Прежде всего речь в таком случае идет о компьютерных сетях, программах, файлах, базах данных, с использованием которых обрабатываются личные сведения.

Неограниченным доступом ко всей информации, а также сведениям об используемых средствах защиты данных могут обладать лишь руководитель организации, системный администратор и лицо, ответственное за обеспечение безопасности данных в организации, определяемое согласно требованиям статьи 22.1 ФЗ № 152. Доступ прочих сотрудников ограничивается объемом данных, который необходим им для исполнения своих непосредственных обязанностей.

Не знаете свои права?

Наиболее распространенный способ разграничения доступа — это издание специального приказа, в котором поименованы все сотрудники, имеющие права на обработку данных, а также указываются носители информации, к которым возможен доступ каждого конкретного сотрудника, условия доступа (пароли, ключи) и перечень допустимых операций с данными. Также права сотрудников на доступ к носителям информации могут быть определены в соответствующих инструкциях по работе с ними.

Общедоступные личные данные — что это? Источники их получения

В организации могут создаваться сводные перечни (списки) источников данных, которые находятся в общем доступе. Порядок создания таких источников регулируется статьей 8 ФЗ № 152, согласно которой допускается включение в них инициалов, номеров телефона, адресов и иных значимых сведений о сотрудниках. Главное, помнить при этом, что включение в такие источники личных данных граждан, согласно части 1 статьи 8 ФЗ № 152, возможно только с их письменного согласия. Кроме того, организация обязана удалить такие данные по требованию их субъекта либо по решению суда.

Подводя итог, отметим, что разграничение доступа к информации о работниках — это необходимая мера, которая позволит обеспечить сохранность данных и исключит их неправомерное использование.

1. Общие положения

1. Настоящим Положением определяется порядок обращения с персональными данными работников ООО «Сентябрь» (далее - Общество).
2. Цель настоящего Положения - упорядочение обращения с персональными данными работников Общества, а именно соблюдение законных прав и интересов Общества и его работников при получении, систематизации, хранении и передаче сведений, составляющих персональные данные.
3. Персональные данные работника - любая информация, относящаяся к конкретному работнику и необходимая Обществу в связи с трудовыми отношениями.
4. Сведения о персональных данных относятся к категории конфиденциальных и составляют охраняемую законом тайну Общества. Режим конфиденциальности в отношении персональных данных снимается:

• в случае их обезличивания;
• по истечении 75 лет срока их хранения;
• в других случаях, предусмотренных федеральным законодательством Российской Федерации.

1. Термины и основные понятия

1. В настоящем Положении используются следующие основные термины и понятия:

• персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
• обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
• блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.

1. Состав персональных данных работников

1. При заключении трудового договора лицо, поступающее на работу, предъявляет:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета - для лиц, подлежащих воинскому учету;
• документ об образовании и (или) квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• свидетельство о присвоении ИНН (при его наличии у работника).
  1. При оформлении работника секретарь заполняет личную карточку работника, в которой отражает следующие данные:

• общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
• сведения о воинском учете;
• данные о приеме на работу;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства;
• контактный телефон.
  1. У секретаря Общества создаются и хранятся следующие документы, содержащие персональные данные работников:

• документы, сопровождающие процессы оформления трудовых отношений с работниками (прием, перевод, увольнение);
• материалы по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• подлинники и копии приказов по личному составу и основания к ним;
• трудовые книжки работников;
• дела, содержащие материалы аттестаций работников;
• дела, содержащие материалы внутренних расследований;
• экземпляры и копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
• положения о структурных подразделениях;
• должностные инструкции работников;
• документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

1. Обработка персональных данных работников

1. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
2. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

4.3. Обработка персональных данных работников работодателем без их согласия возможна исключительно в следующих случаях:

• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
• по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законодательством Российской Федерации.
  1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья (за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции), интимной жизни.
  2. Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
  3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

5. Передача персональных данных

5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством Российской Федерации;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.

5.2. Персональные данные работников обрабатываются и хранятся у секретаря Общества.

5.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные федеральными законами права субъекта персональных данных.

6. Доступ к персональным данным работников

6.1. Право доступа к персональным данным работников имеют:

• руководитель Общества;
• секретарь
• главный бухгалтер;
• руководители структурных подразделений по направлению деятельности (относительно только работников своего подразделения).

6.2. Работник Общества имеет право:

6.2.1. Получать доступ к своим персональным данным и осуществлять ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

6.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

6.2.3. Получать от работодателя:

• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

6.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.

7. Ответственность за нарушение норм,

регулирующих обработку персональных данных

7.1. Работники Общества, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

С положением ознакомлены:

(Личные подписи всех работников предприятия с расшифровкой и указанием даты ознакомления)

Являются все сведения об образовании, трудовом стаже, социальных льготах, семейном положении, а также постановке на воинский учет. Во время того, когда человек заполняет анкеты для принятия на работу, то он указывает свои паспортные данные, адрес прописки и проживания, информацию о членах семьи, номер телефона, сведения об отсутствии судимостей.

Все заполненные документы, которые имеют такие факты считаются конфиденциальными, но вот гриф ограниченного пользования не проставляется. Доступ к персональным сведениям может быть у работодателя , но только для того, чтобы он имел представление об участнике трудового соглашения.

Руководитель того или иного предприятия не имеет права запрашивать те факты, которые не относятся к конкретной должности. Доступ к личным сведениям сотрудника может предоставляться только по разрешению самого работающего субъекта.

Кто имеет допуск?

Предоставление доступа к личной информации сотрудника включает в себя множество действий и правил. Можно получить доступ на постоянной или же временной основе.

Для того, чтобы оформить постоянный доступ к личным сведениям, нужно сформировать целый список лиц, которым просто необходима эта информация для дальнейшего выполнения служебных обязанностей. К ним относят:

1. непосредственного руководителя;
2. заместителя директора;
3. работника кадрового отдела.

Временный доступ предоставляется только в том случае, когда запрашивается информация для производственных заданий. Без личной информации о сотруднике в этом деле вообще нельзя обойтись. Доступ предоставляется только в том случае, если правильно составлена .

Работодатель обеспечивает полную секретность всех получаемых фактов о сотруднике . Обработкой и сбором персональных данных занимаются работники кадрового отдела, у которых входит в обязанности сохранение конфиденциальности (подробнее об обязательствах неразглашения и других документах читайте ).

Важно! Использование информации за пределами трудовой организации или же без ведома работника запрещается.

Все данные, которые характеризуют человека, как работника, не могут являться истребованными или же передаваться совершенно посторонним личностям.

Пошаговые инструкции

Затребование дополнительных сведений

1. Работодатель запрашивает факты о состоянии здоровья сотрудника, когда это имеет отношения к трудовой деятельности.
2. Информация запрашивается для перевода работника на другое место, с благоприятными условиями.
3. Нужно ввести факты только в нужном объеме, для выполнения предусмотренных функций.

Передача необходимой информации третьим лицам

Персональные факты сотрудника могут быть переданы как внутри организации, так и за ее пределы, но только по согласию работника. Конфиденциальность полностью предусматривается, а также действует защита от разглашения третьим лицам. Стоит отметить, что исключением в этом вопросе будет только необходимость передать сведения с целью предупреждения угрозе жизни человека.

Подробнее о том, что такое положение о защите персональных данных работника, читайте .

1. Собирается вся информация по поводу состояния здоровья работника.
2. Работодатель указывает данные сотрудника только в том объеме, которое необходимо для принятия того или иного решения.
3. Эти данные передаются в соответствующие органы, но только с разрешением владельца.

При несчастном случае работодатель должен в обязательном порядке передать все необходимые факты ряду государственных органов.

Если были нарушены правила доступа к персональным сведениям, то нарушитель может быть привлечен к дисциплинарной ответственности . Нередко применяются взыскания, замечания, выговоры или увольнение. Такое наказание может быть применено для тех сотрудников, которые обязаны соблюдать правила работы с личной информацией.

Если работник дал и разглашение собственной информации, то дисциплинарную ответственность кадровик и работодатель не несет.

Должен ли расчетчик зарплаты сообщать персональные данные главному бухгалтеру или директору?

Персональные данные сотрудников в том числе: паспортные данные, сумма заработной платы за месяц. Должен ли расчетчик зарплаты сообщать их главному бухгалтеру или директору своего предприятия?

Вопрос. Должен ли расчетчик зарплаты сообщать какие-либо персональные данные сотрудников (паспортные данные или сумму заработной платы за месяц) главному бухгалтеру или директору своего предприятия?

Ответ. Должен, если предоставление персональных данных сотрудников главному бухгалтеру или директору закреплено в локальном акте предприятия и получено согласие сотрудника на обработку его персональных данных.

В общем случае, доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в статье 88 Трудового кодекса РФ.

Отметим, что работодатель самостоятельно разрабатывает систему защиты персональных данных работников. Для этого необходимо разработать специальный локальный акт, например, Положение о защите персональных данных. Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Перечень лиц, имеющих доступ к персональным данным работников и уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть определен работодателем. Эти условия могут быть прописаны в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86 ТК РФ).

Между тем порядок доступа к персональным данным законом не установлена. И такой доступ можно оформить приказом организации. В таком приказе следует отразить, кто (должность, Ф.И.О.), к каким персональным данным и с какой целью (какие действия выполняет с использованием персональных данных работников) имеет доступ:

Общество с ограниченной ответственностью "Юность"

Об установлении перечня лиц, имеющих доступ

к персональным данным работников

В соответствии со ст. 88 ТК РФ и п. 4.1 Положения о персональных

данных ООО "Юность"

ПРИКАЗЫВАЮ:

1. Определить перечень работников Общества, имеющих доступ к

персональным данным сотрудников, согласно приложению к настоящему приказу.

2. Контроль исполнения приказа возложить на начальника отдела кадров

Орлову И.В.

Генеральный директор Богатов Т.С. Богатов

Приложение к приказу от 03.02.2015 N 16

Перечень сотрудников, имеющих доступ к работе с персональными данными

С приказом ознакомлены:

Воробьева А.Н. Воробьева 03.02.2015

Орлова И.В. Орлова 03.02.2015

Кириллова А.О. Кириллова 03.02.2015

Валуева О.Ю. Валуева 03.02.2015

Какие персональные данные сотрудника вправе получить организация

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников , - ведомости по зарплате, личные карточки , личные дела и другие. Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Будьте внимательны: сведения о зарплате - также персональные данные. Об этом сказано в письме Роскомнадзора от 7 февраля 2014 № 08КМ-3681 . За то, что бухгалтер неправильно хранит или защищает данные о начислениях и выплатах сотрудникам, предусмотрена ответственность . Например, без согласия сотрудника нельзя сообщать его бывшей жене информацию о зарплате.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

Общедоступные персданные

Какие персональные данные считаются общедоступными

Общедоступная информация - это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах , статьи 7 Закона от 27 июля 2006 № 149-ФЗ.

Общедоступные персональные данные - данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 № 152-ФЗ).

Согласие на обработку персданных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников . Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

подпись сотрудника.

Такие требования установлены в части 4

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме . В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры . Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012.

Ситуация: что следует понимать под обработкой персональных данных сотрудника

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме .

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 № 152-ФЗ и Требованиях , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

уничтожение;

изменение;

блокирование;

копирование;

предоставление;

распространение;

иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119 . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер , утвержденными приказом ФСТЭК России от 18 февраля 2013 № 21 .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).

Положение о персональных данных

Ситуация: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников . Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 № КА-А40/10220-06).

Пример, как оформить Положение о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников .

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8?16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119 .

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119 .

Ситуация: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников

Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.

Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в Трудового кодекса РФ.

Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:

сотрудники службы персонала;

сотрудники бухгалтерии;

генеральный директор и при необходимости его заместители;

руководители подразделений и непосредственные руководители.

При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений - в части персональных сведений исключительно по своим подчиненным.

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ». сотрудника на обработку его персональных данных.

Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.

Отвечает Владислав Волков,

заместитель начальника Управления налогообложения доходов физических лиц и администрирования страховых взносов ФНС России

«Инспекторы сравнят доходы физлиц в 6-НДФЛ с суммой выплат в расчете по страховым взносам. Такое контрольное соотношение инспекторы станут применять с отчетности за I квартал. Все контрольные соотношения для проверки 6-НДФЛ приведены в . Инструкцию и образцы заполнения 6-НДФЛ за I квартал смотрите в рекомендации.»

Ответим на вопрос, что относится к персональным данным работника организации. Согласно ст. 3 , персональные данные работника это любые сведения о нем.

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проведении проверки соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании незаконным данного предписания Роскомнадзора.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ . (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013)

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка фирмой-работодателем таких данных может производиться только при соблюдении ряда условий. В числе таковых — согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Кроме того, гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным , срок хранения персональных данных работника составляет 75 лет.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждый сотрудник должен быть ознакомлен с этим документом под роспись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Свои требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие данного локальный нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Так, например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

Обратите внимание, что сообщать какую-либо информацию о сотруднике по телефону недопустимо.

Судебная практика

Д. обратился в суд с иском о признании незаконным передачи работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ . К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ .

В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.