Как компаниям работать с персональными данными в 2024 году?

Каждая организация взаимодействует с персональными данными третьих лиц – получает их, занимается обработкой, хранением и уничтожением. В первую очередь все это происходит со сведениями сотрудников, работающих в фирме. Причем первое соприкосновение с личной информацией о людях происходит еще до того, как человек был принят работу – на этапе поиска работника специалистами отдела кадров или HR-подразделения.

В то же время действующее законодательство устанавливает жесткие наказания за нарушения в работе с персональными данными – организации рискуют получить штрафы от 30 тысяч рублей до 18 млн. руб. (согласно ст. 13.11 КоАП РФ). Давайте выясним, как обращаться с ПД, чтобы это находилось строго в рамках правового поля.

Представьте ситуацию: ваша компания нуждается в новом сотруднике и решила искать его на профильных сайтах. Вы разместили вакансию и стали получать отклики от претендентов – они активно вам направляют свою резюме, сопроводительные письма, в которых уже есть их личная информация: ФИО, контактные данные. Именно с этого момента мы можем говорить о том, компания начинает быть ответственной за сохранность личных сведений о людях.

Под персональными данными действующее законодательство понимает любые данные о физическом лице, которые имеют к нему прямое или опосредованное отношение и позволяют осуществить идентификацию человека. Подобные сведения как раз требуются для осуществления профессиональной деятельности.

К персональным данным, помимо привычным всем ФИО, дата и место рождения, адрес регистрации, также относятся:

1. Номера СНИЛС и ИНН.
2. Данные документа, которые используется для удостоверения личности.
3. Информация о количестве детей, семейном положении.
4. Сведения о том, какое образование получил человек.
5. Состояние его здоровья.
6. Биометрические данные.

Защита персональных данных – ответственность работодателя

Так, вышеупомянутый федеральный закон определяет, что работодатель обязан препятствовать утечке персональных данных о работниках. Речь идет о сведениях, которые стали ему доступны в процессе профессиональной деятельности человека на предприятии. Какие меры необходимо предпринять, чтобы личные данные физических лиц были защищены?

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Внедрение локального акта о взаимодействии с ПД

Для этого необходимо разработать и утвердить Положение о работе в ПД работников. Неимение подобного документа является правонарушением – за это может последовать ответственность по ст. 5.27 КоАП РФ. Штрафная санкция весомая – до 50 тысяч рублей.

Чтобы документ был корректным и составленным в соответствии с требованиями законодательства, укажите в нем следующий набор данных:

• Инструкция по обработке, хранению и использованию персональных данных физических лиц.
• Список документации, в которой есть персональные данные. Такие документы должны охраняться особым образом.
• Алгоритм передачи ПД в пределах компании, а также сторонним лицам.
• Список сотрудников, имеющих допуск к личным сведениям работников.
• Виды ответственности, которые могут наступить в случае пренебрежения требованиями законодательства в части работы с персданными.

Изготовление приказа о назначении ответственного сотрудника

На предприятии необходимо определить лицо, которое будет организовывать работу с персональными данными работников. Чаще всего на эту позицию определяют человека из руководящих должностей: начальник отдела кадров или работы с персоналом, руководитель департамента безопасности и т.д.

Если речь идет об обработке сведений в автоматизированных системах контроля и управления доступом, то в качестве ответственного лица можно назначить руководителя департамента IT и автоматизации.

Определить сотрудников, которые имеют доступ к ПД

Некоторые работники в рамках исполнения своих должностных обязанностей сталкиваются с работой с персональными сведениями сотрудников. Речь здесь идет, к примеру, об отделе кадров, работниках HR-блока, секретарях. Необходимо четко определить, кто из сотрудников компании может иметь доступ к ПД и регламентировать круг полномочий.

Также обращаем ваше внимание, что работники компания могут владеть разным уровнем доступа к ПД в зависимости от исполняемых ими функций. Секретарь использует данные паспорта для приобретения билетов в командировки, бухгалтер и кадровик занимается обработкой документации после больничного, а начальники отделов владеют сведениями только о сотрудников их отделов.

Каждый работник компании, взаимодействующий с персональными данными, должен подписать обязательство о неразглашении. Это односторонний документ, согласно которому допущенные к обработке ПД лица обязуются не разглашать, не передавать сторонним субъектам и не использовать личные данные своих коллег в целях получения выгоды. Также бумага должна зафиксировать, что осведомлено о возможной ответственности по ст. 90 ТК РФ.

Обеспечение надлежащего хранения ПД

То, как данные должны храниться, зависит от механики их обработки. Если речь идет о полностью автоматизированной системе, в которой исключен ручной труд, следует озаботиться о безопасности, которые прописаны в Приказе ФСТЭК от 18.02.2013 №21. Если говорить о конкретных мерах, которые нужно предпринять, то это:

1. Провести ограничение допуска к электронным базам и отдельным сведениям для различных категорий работников.
2. Установить двухуровневую схему пароле – на уровне локальной сети и на уровне баз данных.
3. На регулярной основе изменять пароли – рекомендуется осуществлять это раз в месяц.
4. Передавать ключи и доступы только уполномоченным сотрудникам.

Если мы говорим о неавтоматизированной обработке, в рамках которой хранение ПД осуществляется на бумаге, компания должна:

1. Зафиксировать места для архивации материальных носителей и обеспечить персонификацию доступа.
2. Определить круг лиц, имеющих доступ к хранилищу.
3. Помещения, где хранятся материалы, должны быть оборудованы системами видеонаблюдения и сигнализации, если есть такая необходимость.

Какие документы следует держать в недоступном месте:

• личные карты и дела.
• анкеты, заполняемые лицом в рамках собеседования.
• копии документа, удостоверяющего личность.
• информация об опыте работы и ее предыдущих местах., трудовые книжки в печатном варианте копии свидетельств о заключении брачного союза, рождении детей.
• военные билет/приписное.
• справки со сведениями о доходах и размерах налогов с предыдущего места работы документации о наличии образования и квалификации.
• копии СНИЛС.
• трудовое договоры и допсоглашения к ним.
• приказы и их копии.

Одобрение работника на обрабатывание ПД

Не всегда необходимо получать согласие физического лица на обработку тех или иных сведений. К примеру, получение и обрабатывание сведений, которые стали доступны работодателю в результате:

1. Оформления в штат нового человека (речь идет о сведениях, полученных из паспорта, трудовой книжки, военного билета, документа об образовании, СНИЛСА).
2. Из резюме.
3. По итогам прохождения обязательного медицинского осмотра

Не требует получения одобрения на это работника.

Вместе с тем компании все равно оформляют такой документ в целях перестраховки и защиты себя от штрафных санкций и иных последствий. Также с 2021 года раскрытие данных неограниченному кругу лиц возможно только при наличии следующего документа – Согласие на распространение персданных.

Что относится к распространению сведений:

1. Размещение информации об образовании и стаже работы сотрудника на официальном портале организации.
2. Внесение сведений в журнале и газеты.
3. Печать рекламных брошюр с контактными данными сотрудников и их ФИО.

Размер штрафов за некорректную обработку ПД

Ответственность определяется положениями статьи 13.11 КоАП РФ. К примеру, нарушение порядка уничтожения ПД может привести компанию ко штрафу в размере до 90 тысяч рублей, для ИП наказание чуть менее суровое – санкция до 40 тысяч рублей.

Вместе с тем в последнее время сохраняется тенденция на регулярное ужесточение наказание за нарушения в работе с ПД со стороны регулятора. Штрафы за отдельные неисполнения законодательных требований способны достигать 18 миллионов рублей. Только надлежащее исполнение обязанностей способно уберечь вашу компанию или ИП от претензий со стороны надзорных органов.