Главная

Правила доступа к персональным данным

Права работника: что нужно знать о доступе к персональным данным?

Сотрудники кадровой службы практически постоянно сталкиваются с персональными данными работников многих организаций. Они не только получают сведения у потенциальных сотрудников, но и обрабатывают, хранят, передают факты, а также имеют дело с другими видами использования.

Стоит отметить, что не все кадровики знают, как правильно работать с предоставляемыми личными сведениями, потому что не все организации имеют разработанные и утвержденные нормативные акты.

Часто встречаются случаи, когда нарушаются права работников по вопросам защиты персональных сведений. Законодательством установлены серьезные меры наказания за нарушение всех норм, отвечающих за регулировку, обработку и передачу данных. Довольно-таки актуальным остается вопрос о доступе и владении личной информацией работающих сотрудников.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Персональными данными являются все сведения об образовании, трудовом стаже, социальных льготах, семейном положении, а также постановке на воинский учет. Во время того, когда человек заполняет анкеты для принятия на работу, то он указывает свои паспортные данные, адрес прописки и проживания, информацию о членах семьи, номер телефона, сведения об отсутствии судимостей.

Все заполненные документы, которые имеют такие факты считаются конфиденциальными, но вот гриф ограниченного пользования не проставляется. Доступ к персональным сведениям может быть у работодателя, но только для того, чтобы он имел представление об участнике трудового соглашения.

Кто имеет допуск?

Предоставление доступа к личной информации сотрудника включает в себя множество действий и правил. Можно получить доступ на постоянной или же временной основе.

Для того, чтобы оформить постоянный доступ к личным сведениям, нужно сформировать целый список лиц, которым просто необходима эта информация для дальнейшего выполнения служебных обязанностей. К ним относят:

Временный доступ предоставляется только в том случае, когда запрашивается информация для производственных заданий. Без личной информации о сотруднике в этом деле вообще нельзя обойтись. Доступ предоставляется только в том случае, если правильно составлена заявка на обработку и хранение сведений.

Работодатель обеспечивает полную секретность всех получаемых фактов о сотруднике. Обработкой и сбором персональных данных занимаются работники кадрового отдела, у которых входит в обязанности сохранение конфиденциальности (подробнее об обязательствах неразглашения и других документах читайте тут).

Все данные, которые характеризуют человека, как работника, не могут являться истребованными или же передаваться совершенно посторонним личностям.

Доступ к персональным данным получает руководитель организации, но исключительно от самого человека. Перед этим нужно обязательно сообщить о цели получения такой информации, а также получить письменное согласие.

Доступ к персональным данным имеют также те кадровики, работодатели и их представители, которые указаны в нормативных актах. Они сами уже выбирают меру защиты и действуют в соответствии с правилами хранения.

Пошаговые инструкции

Затребование дополнительных сведений

  1. Работодатель запрашивает факты о состоянии здоровья сотрудника, когда это имеет отношения к трудовой деятельности.
  2. Информация запрашивается для перевода работника на другое место, с благоприятными условиями.
  3. Нужно ввести факты только в нужном объеме, для выполнения предусмотренных функций.

Передача необходимой информации третьим лицам

Персональные факты сотрудника могут быть переданы как внутри организации, так и за ее пределы, но только по согласию работника. Конфиденциальность полностью предусматривается, а также действует защита от разглашения третьим лицам. Стоит отметить, что исключением в этом вопросе будет только необходимость передать сведения с целью предупреждения угрозе жизни человека.

Подробнее о том, что такое положение о защите персональных данных работника, читайте тут.

  1. Собирается вся информация по поводу состояния здоровья работника.
  2. Работодатель указывает данные сотрудника только в том объеме, которое необходимо для принятия того или иного решения.
  3. Эти данные передаются в соответствующие органы, но только с разрешением владельца.

Если были нарушены правила доступа к персональным сведениям, то нарушитель может быть привлечен к дисциплинарной ответственности. Нередко применяются взыскания, замечания, выговоры или увольнение. Такое наказание может быть применено для тех сотрудников, которые обязаны соблюдать правила работы с личной информацией.

Если работник дал письменное согласие на обработку и разглашение собственной информации, то дисциплинарную ответственность кадровик и работодатель не несет.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

Доступ к персональным данным

Каждый оператор (тот, кто собирает, обрабатывает и хранит личные сведения) обязан правильно организовать доступ к персональным данным. Речь идет, прежде всего, о допуске своих работников к таким данным. Ведь защита персональных данных – прямая обязанность работодателя. И право работника по трудовому договору. Их устанавливает глава 14 Трудового кодекса РФ. Частью комплекса мероприятий по защите данных является установка ограниченного перечня лиц, имеющих допуск к персональным данным.

С другой стороны, как самому человеку получить свои данные? Которые хранятся в той или иной базе? Обо всех этих нюансах мы расскажем в этой публикации.

Допуск к персональным данным самого субъекта

Каждый человек имеет право на ознакомление с материалами о себе. В силу ст. 24 Конституции РФ на должностных лиц органов государственной власти и местного самоуправления возложена обязанность ознакомить гражданина с материалами и документами, которые его касаются. Иногда, только при обращении такого гражданина. Иногда – в силу закона. Например, при составлении протокола об административном правонарушении.

  • оператор получил их в результате оперативно-разыскной и т.п. деятельности, обработка данных осуществляться в целях обороны страны, защите правопорядка и безопасности государства
  • в рамках уголовного дела, обвинения в преступлении, в т.ч. до предъявления обвинения (за исключением доступа к данным в рамках УПК РФ)
  • оператор работает в рамках законодательства по противодействию легализации доходов (отмыванию)
  • доступ субъекта персональных данных к его данным нарушает права и законные интересы третьих лиц
  • обработка осуществляется в рамках транспортной безопасности

Согласно ч. 3 ст. 20 Закона информацию оператор ее носителю (субъекту) предоставляет бесплатно.

Как запросить свои личные данные

Субъект данных должен обратиться к оператору. Либо лично. Либо направить запрос с указанием:

  • паспортных данных субъекта
  • сведения, подтверждающие взаимоотношения субъекта и оператора – номер и дата договора, дача согласия на обработку персональных данных и т.п.
  • подпись

Письменный запрос, кстати, позволит в дальнейшем ссылаться на обращение к оператору. Возможно, носитель данных захочет обратиться в суд за защитой своих персональных данных.

В силу различного правового регулирования закон допускает ограничение направления сведений в письменной форме. К примеру, есть банковская тайна. Поэтому способы получения информации могут быть ограничены личным обращением либо иным способом, указанном в договоре с банком.

Если оператор игнорирует субъекта персональных данных, есть 2 пути решения проблемы. Во-первых, информацию можно затребовать через суд. На судебный запрос оператор обязан ответить под угрозой применения судебного штрафа. Также можно написать жалобу в Роскомнадзор. Который наделен правом запросить данные у оператора самостоятельно.

Как организовать доступ к персональным данным работодателю

В силу занимаемой должности ряд сотрудников должны иметь допуск к персональным данным других работников. Например, сотрудник бухгалтерии должен правильно насчитать зарплату. И осуществить перевод денег на карту. Или сотрудник отдела кадров должен правильно оформить тот или иной приказ.

Согласно ст. 88 Трудового кодекса РФ работодатель обязан не сообщать персональные данные работника без его согласия третьим лицам. Исключение – случаи, установленные ТК РФ и иным законодательством. А также в случае угрозы жизни или здоровью работника. Тем не менее в силу ст. 88 ТК РФ работодатель наделен правом разрешить специально уполномоченным лицам доступ. Причем он может быть без ограничений (для руководителя организации, бухгалтерии) и ограниченным. Например, начальнику структурного подразделения разрешат доступ к персональным данным сотрудникам этого подразделения. Конкретный перечень работников и уровень доступа работодатель устанавливает в локальном акте – Положение о персональных данных, приказ об утверждении Положения. Просто приказ об установлении списка лиц, имеющих доступ к персональным данным работников.

Работа с персональными данными: новые правила

В целях дополнительной защиты сведений о гражданах в Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ были внесены существенные поправки, вступившие в силу с 1 июля 2011 года (см. Федеральный закон от 25 июля 2011 г. № 261-ФЗ).

Изменилось само понятие персональных данных, под которыми теперь понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 закона № 152-ФЗ).

Строительная компания, обрабатывающая такие данные, по своему статусу соответствует понятию оператора.

Под обработкой персональных данных понимается любое действие (операция) с персональными данными, совершаемое с применением средств автоматизации или без их применения. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование данных и т. д.

Введено понятие автоматизированной обработки персональных данных, а также соответствующее нормативное регулирование.

Уточнены принципы обработки сведений (ст. 5 закона № 152-ФЗ).

Закреплено, что обработка должна ограничиваться достижением конкретных, заранее определенных целей. При этом обрабатываемые данные не должны быть избыточными. Если срок хранения персональных сведений не установлен (законом, договором), хранить их нужно не дольше, чем этого требуют цели обработки. После чего данные подлежат уничтожению либо обезличиванию.

Новшеством является также то, что регламентирован порядок поручения обработки персональных данных третьему лицу. Компания вправе это сделать с согласия работника на основании заключаемого с третьим лицом договора (поручения оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора (компании-работодателя), обязано соблюдать принципы и правила такой операции, предусмотренные законом № 152-ФЗ.

В поручении должны быть определены перечень действий с данными и цели их обработки, а кроме того, установлена обязанность третьего лица соблюдать конфиденциальность этих сведений и обеспечивать безопасность при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица будет нести сама компания. А лицо, осуществляющее обработку информации по ее поручению, несет ответственность перед компанией.

В закон № 152-ФЗ введена новая статья 18.1. В ней предусмотрены меры, направленные на обеспечение обновленных требований. Работодателю следует определить перечень мер, необходимых для выполнения обязанностей по обработке персональных данных. Он должен включать:

– назначение лица, ответственного за организацию обработки персональных данных;

– издание компанией документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки таких сведений и предотвращения (устранения) нарушений;

– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

– осуществление внутреннего контроля соответствия обработки персональных данных указанному закону и принятым на основании его нормативным правовым актам;

– оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;

– ознакомление работников компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства о защите персональных данных, локальными актами по указанным вопросам и обучение этих работников.

Обратите внимание: строительной организации теперь помимо Положения по защите персональных данных работников, которое следовало принять в соответствии с Трудовым кодексом РФ, необходимо разработать новый документ – Политику в отношении обработки персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

– определением угроз безопасности данных при их обработке в информационных системах;

– применением организационных и технических мер;

– учетом машинных носителей персональных данных;

– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

– восстановлением данных, модифицированных или уничтоженных вследствие несанкционированного доступа;

– установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с ними в информационной системе;

– контролем за уровнем защищенности информационных систем.

Не следует забывать и о том, что в настоящее время действуют документы:

– приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;

– Методика определения актуальных угроз безопасности персональных данных … утвержденная ФСТЭК России 14 февраля 2008 г.;

– Базовая модель угроз безопасности персональных данных… утвержденная ФСТЭК России 15 февраля 2008 г.

Учтите: по запросу уполномоченного органа по защите прав субъектов персональных данных строительная фирма обязана представить документы и локальные акты или иным образом подтвердить принятие соответствующих мер.

>|Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706.|

За совершение дисциплинарного проступка в процессе исполнения трудовых обязанностей (нарушение уполномоченным лицом условий о неразглашении персональной информации, о принятии мер по сохранности, недопущению распространения информации и т. д.) работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям (ст. 192 Трудового кодекса РФ).

Новшеством являются положения о компенсации морального вреда. Так, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав из-за нарушения правил обработки персональных данных, а также требований к их защите, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, согласно статье 13.11 Кодекса РФ об административных правонарушениях, влечет предупреждение или наложение штрафа: на граждан в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб.

За разглашение информации, доступ к которой ограничен федеральным законом, статьей 13.14 Кодекса РФ об административных правонарушениях предусмотрен штраф: для граждан в размере от 500 до 1000 руб.; для должностных лиц – от 4000 до 5000 руб.

За нарушение неприкосновенности частной жизни грозит уже уголовная ответственность (п. 1 ст. 137 Уголовного кодекса РФ). Так, незаконный сбор или распространение сведений о человеке (его семье) без его согласия либо публичное распространение этих сведений наказывается:

– штрафом до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;

– обязательными работами на срок от 120 до 180 часов;

– исправительными работами на срок до одного года;

– арестом на срок до четырех месяцев;

– лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью в течение срока до трех лет.

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, согласно пункту 1 статьи 272 Уголовного кодекса РФ, предусматривает схожие меры (штраф, обязательные или исправительные работы и т. д.). Различие в том, что среди них нет ареста и запрета занимать определенные должности.

Доступ к персональным данным

Статьи по теме

Персональные данные сотрудника содержат полные сведения, необходимые работодателю для оформления трудовых отношений с работником. В данной статье рассмотрено, как получить доступ к персональным данным, и какое наказание положено за разглашение персональных сведений.

Из этой статьи вы узнаете:

  • что включается в персональные данные работника;
  • какой порядок предоставления доступа к персональным данным;
  • виды ответственности за разглашение персональных данных.

Персональные данные сотрудника – сведения, запрашиваемые работодателем при оформлении с работником трудовых отношений. В таких данных содержится вся необходимая информация о нанимаемом на работу человеке, в том числе представлены сведения об идентифицирующих личность сотрудника жизненных событиях и фактах.

Что включается в персональные данные работника

К персональным данным сотрудника относятся сведения о полученном образовании, общем и трудовой стаже, семейном положении, социальных льготах, постановке на воинский учет. В заполняемых анкетах также указываются специальность, должность, паспортные данные, сведения о наличии/отсутствии судимости, адрес проживания и прописки, общая информация о родственниках и членах семьи, телефон и др.

Несмотря на то, что заполненные работником документы с персональными данными признаются конфиденциальными, на такой документации из-за единого места хранения и обработки не проставляется гриф ограниченного пользования.

Действующими нормами ТК установлено, что работодатель имеет право запрашивать у работника только ту информацию, которая дает характеристику сотруднику как участнику трудового соглашения. Это означает, что руководитель предприятия не может требовать предоставления сведений о нанимаемом человеке, которые не связаны с выполнением должностных обязанностей в определенной организации и на конкретной должности.

Порядок предоставления доступа к персональным данным

Стандартный порядок предоставления доступа к персональным данным включает ряд действий по соблюдению правил получения доступа к персональной информации на постоянной и временной основе.

Для оформления постоянного доступа формируется перечень лиц, которым указанные нанимаемым работником сведения необходимы для выполнения трудовых (служебных) обязанностей, в том числе для зачисления сотрудника в штат организации, перевода на другую должность и т.д.

Временный (разовый) допуск к персональным данным обычно предоставляется при выполнении запрашивающими сведения сотрудниками производственных заданий, где без личной информации о работнике никак не обойтись. В таком случае право доступа дается на основании подготовленной заявки с запросом обработать персональную информацию работника.

Занятые обработкой персональных данных сотрудники в обязательном порядке знакомятся с принятым на предприятии положением о безопасном использовании персональных сведений. Для лиц, ответственных за хранение персональной информации, организуются инструктажи по:

  • правилам автоматизированной/неавтоматизированной обработки персональных сведений,
  • применению для работы с информацией технических средств и прикладного программного обеспечения;
  • правилам использования при эксплуатации компьютерной техники паролей и антивирусной защиты;
  • мерам во время внештатных ситуаций и др.

Ответственность за разглашение персональных данных

Трудовым законодательством РФ предусмотрена административная ответственность за разглашение персональных сведений. В случае утечки конфиденциальной информации привлечением виновных к ответственности занимается прокуратура.

На данный момент КоАП РФ за разглашение персональных данных предусмотрены следующие административные штрафы:

  • 500 – 1000 руб. – для граждан;
  • 4 – 5 тыс. руб. – для должностных лиц.

В том случае, если персональная информация человека размещена в СМИ, опубликована в произведениях литературы и искусства, озвучена в публичных выступлениях, возможно наложение уголовной ответственности. Привлечение к уголовной ответственности также используется при получении персональных данных незаконными способами.

УК РФ предусматривает следующие виды наказаний за разглашение персональных сведений:

  • оплату штрафа в размере, не превышающем 200 тыс. рублей;
  • наложение штрафа в размере 1,5-годичной зарплаты виновного лица;
  • исправительные работы в течение срока, не превышающего 12 месяцев;
  • отправление виновного на обязательные работы длительностью не более 360 часов;
  • лишение свободы сроком до 24 месяцев;
  • содержание под арестом в течение срока, не превышающего 4 месяца.

Таким образом, использование персональных данных работника возможно только после получения права доступа к такой информации. За разглашение персональных сведений виновные привлекаются к административной или уголовной ответственности.

Рекомендуем материалы по теме:

Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...
Сохранить себе в:
Ссылка на основную публикацию
ВсеИнструменты
© 2023 Все права защищены. Копирование материалов разрешено только при наличии активной обратной ссылки