Как хранить и использовать персональные данные работников

08.02.2024
author avatar

Гулрух НИЯЗМЕТОВА

старший специалист Управления по международным связям
author avatar

Юрий ФЕОКТИСТОВ

эксперт «Нормы»
Читать на узбекском языке

В рекомендации:

– какие данные относят к персональным;

– как хранить и использовать персональные данные;

– какие документы необходимо разработать;

– ответственность за несоблюдение правил хранения и обработки персональных данных.

Работодатель обязан сохранять персональные данные работников в безопасности. Законодательство возлагает на работодателя ответственность за несоблюдение требований хранения, использования и защиты персональных данных.

Какие данные относят к персональным

Персональные данные работника – конфиденциальная информация о фактах, событиях и обстоятельствах жизни работника и членов его семьи . Сотрудники предоставляют персональные данные работодателю в связи с трудовыми отношениями.

К персональными данным относятся следующие сведения о работнике:

  • Ф.И.О., дата и место рождения;
  • ПИНФЛ, при наличии;
  • информация и документы об образовании;
  • выполняемая работа с момента начала трудовой деятельности, включая военную службу;
  • адрес регистрации по месту постоянного или временного проживания;
  • данные паспорта или ID-карты – серия, номер, кем и когда выдан;
  • номер личного телефона, адрес электронной почты;
  • отношение к воинской обязанности, сведения по воинскому учету – для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу;
  • ИНН, при наличии;
  • ИНПС;
  • результаты обязательного медосмотра;
  • основания прекращения с работником трудового договора;
  • семейное положение, Ф.И.О. и даты рождения близких родственников;
  • иные сведения о ставших известными работодателю фактах, событиях и обстоятельствах жизни работника и членов его семьи.

К персональным данным относят в том числе и биометрические данные, характеризующие анатомические и физиологические особенности работника .

Ситуация
Относится ли размер заработной платы сотрудника к его персональным данным
В нашей организации работники обсуждают между собой размер установленной им зарплаты. Если бухгалтер по начислению зарплаты обсуждает с другими работниками размер зарплаты их коллег, считается ли это нарушением и можно ли его наказать?
– Да, можно.
Размер зарплаты сотрудника, как правило, считается частью его персональных данных. Персональные данные включают в себя любую информацию, имеющую отношение к определенному физическому лицу. Размер зарплаты является конфиденциальной информацией, которая связана с конкретным сотрудником, и ее обработка подпадает под закон о защите персональных данных. Поэтому, если бухгалтер распространяет информацию о начисленных доходах работников организации, работодатель вправе привлечь его к дисциплинарной ответственности.
Ситуация
Является ли фотография персональными данными
При приеме на работу кандидат принес резюме. Относится ли к персональным данным фотография на резюме?
– Да, относится, если по фотографии можно узнать её обладателя.
Персональные данные – это зафиксированная на электронном, бумажном и ином материальном носителе информация, которая относится к определенному физическому лицу или дает возможность его идентификации .
Фото – это изображение, которое передает информацию в виде картинки. Она помогает опознать человека. Следовательно, фотографию можно считать личными данными сотрудника. Поэтому при обработке документов с фотографиями, как в данном случае – резюме, применяются общие правила обработки такого рода информации.
При этом к персональным данным, указанным в резюме, относят также и сведения о национальности, семейном положении, трудовом стаже, воинском звании и т. д.

Как хранить и работать с персональными данными

Храните и используйте персональные данные работников в соответствии с законодательством  . Это касается и документов сотрудников, в которых есть информация с персональными данными.

При обработке персональных данных работников ТК обязывает работодателя :

  • руководствоваться положениями законодательства о персональных данных;
  • получать персональные данные непосредственно у самого работника;
  • получать персональные данные от третьих лиц только с письменного уведомления работника и с его согласия
  • сообщать работнику о целях, предполагаемых источниках и способах получения, а также о характере этих данных;
  • сообщать работнику о последствиях, если он отказывается дать согласие на получение личных данных;
  • обеспечивать защиту персональных данных работника;
  • знакомить работников под подпись о порядке обработки персональных данных;
  • вырабатывать меры по защите персональных данных работников;
  • не допускать разглашения персональных данных, которые стали известны в процессе трудовой деятельности.
Внимание
Согласие работника не требуется, если, к примеру, работодатель сам направил его на курсы повышения квалификации, либо для прохождения медосмотра и т.д.
Внимание
За нарушение закона о персональных данных могут оштрафовать. В частности, за незаконный сбор, хранение, изменение, использование, предоставление, распространение; передачу и уничтожение персональных данных.
 Штраф составит: для граждан – от 3 до 5 БРВ, для должностных лиц – от 5 до 10 БРВ .

Собственник или оператор при обработке биометрических и генетических данных принимает организационные и технические меры по их защите и хранению . При этом предусматриваются 4 степени защиты персональных данных в зависимости от условий :

Таблица 1

Четыре степени защиты персональных данных

Степень защиты

Условия применения соответствующего уровня

Необходимые меры защиты

I степень защиты 

- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации;
- наличие угроз II типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора.

- обеспечить режим безопасности зданий, в которых находятся базы данных;

- не допускать бесконтрольного доступа лиц, не имеющих права входить в здание;
- обеспечить безопасность физических предметов, на которых хранятся персональные данные;
- утвердить перечень лиц, имеющих доступ к базе данных;
- обеспечить защиту от угроз;
- назначить ответственное должностное лицо;
- предоставить право доступа к сведениям  журнала электронных сообщений исключительно ответственным сотрудникам, а также уполномоченным лицам;
- регистрировать в электронном журнале безопасности изменения полномочий ответственного сотрудника;
- создать структурное подразделение, ответственное за обеспечение безопасности базы данных.

II степень защиты 

- наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации и обработка общедоступной информации;
- наличие угроз II типа и обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз II типа и  обработка биометрической и (или) генетической информации;
- наличие угроз II типа и  обработка общедоступной информации более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; 
- наличие угроз III типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора.

- обеспечить режим безопасности зданий, в которых находятся базы данных,
- не допускать бесконтрольного доступа лиц, не имеющих права входить в здание;
- обеспечить безопасность физических предметов, на которых хранятся персональные данные;
- утвердить перечень лиц, имеющих доступ к базе данных;
- обеспечить защиту от угроз;
- назначить ответственное должностное лицо;
- предоставить право доступа к сведениям журнала электронных сообщений исключительно ответственным сотрудникам, а также уполномоченным лицам.

III степень защиты 

- наличие угроз II типа и обработка общедоступной информации сотрудников собственника и (или) оператора и (или) обработка общедоступной информации менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка специальных персональных данных сотрудников собственника и (или) оператора и (или) обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора;
- наличие угроз III типа и обработка биометрической и (или) генетической информации.

- обеспечить режим безопасности зданий, в которых находятся базы данных;
- не допускать бесконтрольного доступа лиц, не имеющих права  входить в здание;
- обеспечить безопасность физических предметов, на которых хранятся персональные данные;
- утвердить перечень лиц, имеющих доступ к базе данных;
- обеспечить защиту от угроз;
- назначить ответственное должностное лицо.

IV степень защиты 

- наличие угроз III типа и обработка общедоступной информации.

- обеспечить режим безопасности зданий, в которых находятся базы данных,
- не допускать бесконтрольного доступа лиц, не имеющих права входить в здание;
- обеспечить безопасность физических предметов, на которых хранятся персональные данные;
- утвердить перечень лиц, имеющих доступ к базе данных;
- обеспечить защиту от угроз.

Какие документы необходимо подготовить для работы с персональными данными

Законодательство регулирует общий порядок работы с персональными данными, поэтому в организации дополнительно должно быть Положение о работе с ними. При разработке Положения ориентируйтесь на требования законодательства и учтите специфику и особенности организации, например:

  • личную информацию сотрудников, которая нужна работодателю для выполнения трудовых обязанностей;
  • список лиц, которые вправе получать, хранить и осуществлять контроль за личными данными работников;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • перечень прав и обязанностей самих работников о необходимости предоставления достоверной информации, а также соблюдения конфиденциальности.

При этом, помимо Положения о работе с персональными данными, разработайте и утвердите:

  1. Приказ о назначении ответственного по работе с персональными данными. В приказе установите правила хранения и обработки персональных данных, а также меры ответственности за их разглашение.
  2. Политику обработки персональных данных, если обрабатываете персональные данные на официальном сайте организации.
  3. Положение о защите персональных данных, в котором определите меры предотвращения утечки персональных данных.
  4. Обязательство о неразглашении персональных данных.
  5. Регламент и требования к допуску к работе с персональными данными. В регламенте утвердите порядок доступа и перечень сотрудников, которые вправе работать с персональными данными.

Таблица 2

Что включить в документы организации по работе с персональными данными

Наименование документа

Что включить

Приказ о назначении ответственного по работе с персональными данными

Правила хранения и обработки персданных, меры ответственности за их разглашение

Согласие на обработку персональных данных
  • Сведения о работнике и работодателе
  • Цель обработки персональных данных
  • Перечень действий с персданными
  • Перечень персданных, на обработку которых дается согласие
  • Срок, в течение которого действует согласие

Положения о работе с персональными данными
  • Цели каждой обработки персданных
  • Категории и перечень персональных сведений
  • Способы и сроки обработки и хранения персданных
  • Порядок передачи персданных третьим лицам
  • Порядок уничтожения персональных данных

Политика обработки персональных данных
  • Цели обработки персональных данных
  • Правовые основания обработки данных
  • Категории обрабатываемых данных
  • Порядок и условия обработки персданных
  • Права и обязанности субъектов данных

Положение о защите персональных данных
  • Цели получения персданных
  • Способы получения персданных
  • Меры для обеспечения защиты персданных

Обязательство о неразглашении персональных данных
  • Цель сбора и использования персданных
  • Обязательства по конфиденциальности
  • Ограничения на использование персданных
  • Сроки хранения персданных
  • Обеспечение безопасности персданных
  • Ответственность за разглашение персданных

Регламент и требования к допуску к работе с персональными данными
  • Перечень сотрудников, имеющих доступ к персданным
  • Порядок допуска
  • Ответственность

Чтобы обеспечить сохранность документов с персональной информацией в целях защиты ее от неправомерного использования, следуйте общим правилам хранения:

  1. Разместите документы в отдельном помещении с сейфами и запираемыми шкафами. В несгораемые сейфы размещают трудовые книжки, в шкафы – личные карточки, приказы, справки и прочие документы.
  2. Ограничьте доступ к документам. Работать с ними может только уполномоченное лицо и сам сотрудник, чьи данные хранятся у работодателя. Другие лица получают доступ только по письменному разрешению или для решения конкретной задачи.
  3. Установите требования к получению и использованию данных. Эти требования не должны нарушать ТК и конституционные права. Так, их нельзя передавать без согласия сотрудника, использовать в личных целях и т. д.
  4. Ознакомьте лиц, которых наделили доступом к персональными данным, с требованиями по работе с ними и мерами ответственности за несоблюдение этих требований под подпись.

Кроме того, для хранения биометрических и генетических данных необходимо строго соблюдать требования пожарной безопасности, санитарных правил, а также принять меры во избежание затопления помещений, том числе :

  • иметь надежные средства защиты, исключающие возможность проникновения посторонних лиц;
  • хранить данные в сейфах, на металлических стеллажах или полках;
  • оборудовать помещения охранной сигнализацией и приборами видеонаблюдения;
  • входные двери и окна подключить к службе охраны.
Ситуация
Согласие работника на обработку персональных данных
У нас небольшое предприятие и коллектив компании практически не менялся уже много лет. Нужно ли нам получать письменное согласие на обработку персональных данных, если мы все друг друга знаем и доверяем?
– Да, нужно.
Получать согласие на обработку персональных данных требует законодательство. При этом, если работодатель планирует получать информацию о работнике от третьих лиц, он обязан уведомить об этом работника и получить его письменное согласие  . Работник в этом случае вправе затребовать информацию о всех своих персональных данных, имеющихся у работодателя, в том числе узнать порядок их обработки, а также когда и для чего их использовали.
Таким образом, вам необходимо получить от каждого работника письменное согласие на обработку персональных данных и оформить его в соответствии с законом.
Внимание
Работник вправе в любое время отозвать свое согласие на обработку персональных данных.
Ситуация
Работник отказывается предоставлять персональные данные своих родственников для заполнения данных в ЕНСТ
В организацию приняли нового сотрудника, но при заполнении данных в ЕНСТ он отказался предоставлять информацию о своих родственниках.
Обязан ли работник предоставлять информацию о родственниках?
– Все персональные данные работника необходимо получать у самого работника . А для того, чтобы внести информацию в ЕНСТ о родственниках работника, потребуется согласие непосредственно самих этих родственников. Поэтому работодатель не вправе требовать от работника эти данные.
Таким образом, если работник отказывается предоставить какие-либо данные о своих родных, работодатель не вправе их требовать.
Ситуация
Как оформить обязательство о неразглашении персональных данных работников
Сотрудники, которые по роду деятельности получают доступ к персональным данным (например: кадровики, бухгалтеры, системные администраторы), обязаны сохранять конфиденциальность этих сведений.
Чтобы подтвердить обязанность этой категории работников сохранять конфиденциальность персональных данных, оформите с ними письменное обязательство о неразглашении. Это документ, в котором сотрудник подтверждает, что:
  • получил доступ к персональным данным в связи с исполнением трудовых обязанностей;
  • обязуется не раскрывать, не передавать и не использовать такие данные в личных или иных целях;
  • несет ответственность за разглашение, в том числе и после прекращения с ним трудовых отношений.
Внимание
Привлечь сотрудника к дисциплинарной или материальной ответственности за утечку персональных данных возможно только в том случае, если:
  • сведения стали ему известны в рамках трудовых обязанностей;
  • сотрудник взял на себя обязательство по их неразглашению.
Обязательство можно оформить как отдельным документом, так и закрепить в дополнительном соглашении к трудовому договору.

Как накажут за нарушение требований к обработке и хранению персональных данных

За нарушение правил хранения и использования персональных данных ответственность несет должностное лицо, которое уполномочено работать с такими документами . К нарушениям правил хранения и использования персональных данных относят:

  • неправомерную передачу документов третьим лицам;
  • ошибки при заполнении документов, их утерю;
  • неправильное хранение.

Виновных в нарушении положений законодательства при обработке персональных данных работника привлекают к дисциплинарной и материальной ответственности. Более того, их также могут привлечь к административной и даже уголовной ответственности.

Таблица 3

Ответственность за нарушение правил хранения и использования
персональных данных

Вид ответственности

Вид нарушения

Вид наказания

Дисциплинарная ответственность

Работник, который имел доступ к персональным данным, незаконно разгласил их третьим лицам

С работником можно прекратить трудовой договор за разглашение охраняемой законом тайны

Материальная ответственность

Работник нарушил правила работы с персональными данными и причинит компании прямой действительный ущерб

Работодатель может взыскать с нарушителя ущерб в размере утраченного заработка   

Административная ответственность

Незаконно собирали, хранили, изменяли или распространяли персональные сведения

1) штраф от 50 до 150 БРВ;

2) лишение определенного права до трех лет;

3) исправительные работы до двух лет  

Уголовная ответственность

Действия, за которые предусмотрена административная ответственность, совершенные:

  • по предварительному сговору группой лиц;
  • повторно или опасным рецидивистом;
  • из корыстных или иных низменных побуждений;
  • с использованием служебного положения;
  • повлекшие тяжкие последствия

1) штраф от 50 до 100 БРВ;

2) исправительные работы от 2 до 3 лет;

3) ограничение свободы от 1 года до 3 лет;

4) лишение свободы до 3 лет

 

Kadrovik.uz янгиликларини биринчи бўлиб олиш учун Telegram-каналга обуна бўлинг
Мавзуга доир материаллар:

Тушунтиришлар материал эълон қилинган пайтда амалда бўлган нормаларни ҳисобга олган ҳолда тайёрланган ва экспертлар фикрини акс эттиради. Якуний қарорни фойдаланувчи аниқ вазиятларни ҳисобга олган ҳолда мустақил равишда қабул қилади.




Сайт «NORMA» МЧЖ томонидан ишлаб чиқилган.

Контентни яратишда “Кадрлар бўйича маслаҳатчи” ЭМТ, «Buxgalter PRO» ЭМТ, buxgalter.uz сайти материалларидан фойдаланилган.

Сайт материалларини ресурс маъмурияти розилигисиз кўчириб олиш тақиқланади.

© «NORMA» МЧЖ, 2021–2025 й. Барча ҳуқуқлар ҳимояланган.

 
 
Яндекс.Метрика
Бориш харитаси Бориш харитаси

Манзил: Ўзбекистон, 100105,
Тошкент ш., Миробод тум., Толлимаржон кўч., 1/1.

E-mail: admin@kadrovik.uz

Call-марказ телефони: (+998)78 150-11-72