Защита персональных данных работника

Защита персональных данных работника .

Под персональными данными работника следует понимать информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника, а под обработкой персональных данных работника — получение, хранение, комбинирование, передачу или любое другое использование персональных данных работника.

ТК РФ предъявляет общие требования при обработке персональных данных работника и гарантии их защиты. Среди них следует выделить: 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; 2) при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами; 3) все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; 4) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом; 5) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом; 6) работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области; 7) работники не должны отказываться от своих прав на сохранение и защиту тайны; 8) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Права работников по защите персональных данных, хранящихся у работодателя. Для работника основными правами по защите персональных данных будут являться: 1) полная информация о персональных данных и обработке этих данных; 2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; 3) определение своих представителей для защиты своих персональных данных; 4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; 5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ.

SHPORA.NET

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Обработка персональных данных — получение, хранение, комбинирование, передача или любое другое использование персональных данных.
При обработке персональных данных должны соблюдаться следующие требования:
1) Обработка может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе,
2) При определении объема и содержания персональных данных работодатель должен руководствоваться конституцией РФ, ТК, иными ФЗ
3) Все персональные данные работника следует получать у него самого.
4) Работодатель не имеет права получать и обрабатывать персональные данные работника и его политических, религиозных и иных убеждениях и частной жизничленстве в общественных объединениях или его профсоюзной деятельности.
5) Защита от неправомерного использования или утраты обеспечивается за счет средств работодателя.
6) Работники д.б. ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
7) Работники не должны отказываться от своих прав на сохранение и защиту тайны
8) Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных.
Передача персональных данных
1) За исключение случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, работодатель не должен сообщать к-л персональные данные работника без его письменного согласия
2) Не может сообщать без письменного согласия в коммерческих целях.
3) Работодатель должен предупредить лиц, получающих персональные данные, о том, что эти данные м.б. использованы лишь в тех целях, для которых они были сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4) Передача персональных данных в пределах одной организации должна осуществляться в соответствии с лок. Нормативным правовым актом, с которым работник должен быть ознакомлен под роспись.
5) Доступ к персональным данным разрешен только специальным уполномоченным лицам. При этом они получают только те данные, которые необходимы для выполнения конкретной функции.
6) Не запрашивается информация о состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Права работников в целях обеспечения защиты персональных данных
1) Полная информация об этих персональных данных и обработки этих персональных данных
2) Свободный бесплатный доступ к своим персональным данным, включая право на получение любых записей, содержащих персональные данные.
3) Определение своих представителей для защиты персональных данных
4) Доступ к медицинским персональным данным с помощью медицинского специалиста по их выбору.
5) Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением ТК. При отказе – заявление в письменной форме о несогласии обоснованием несогласия.
6) Требование об извещении работодателем всех лиц, которым были ранее сообщены неверные или неполные сведения, обо всех исключениях, исправлениях, дополнениях.
7) Обжалования в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных
Ответственность
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК, ФЗ; а также к гражданско-правовой, административной и уголовной ответственности в порядке,, установленном ФЗ.

>Глава 14. Защита персональных данных работника

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Изменения в законе

Согласно изменениям, внесённым законом № 363-ФЗ от 27 декабря 2009 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствие с законом до 1 января 2011 года. Федеральным законом от 23 декабря 2010 года № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных до 1 января 2011 года, в соответствие с требованиями закона № 152-ФЗ – не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ от 25.07.2011. Этим законом была уточнена сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

Федеральным законом «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017 N 13-ФЗ с 1 июля 2017 года ужесточена ответственность за несоблюдение закона «О персональных данных». Штраф за невыполнения тех или иных действий, предусмотренных в законе, составит от 10 000 до 75 000 руб. за каждое обнаруженное нарушение.

Существенные стороны закона

В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилию, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.

Действие закона не распространяется на отношения, возникающие при:

  1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  2. организации хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  3. обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну;
  4. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя (утратил силу — Федеральный закон от 25.07.2011 N 261-ФЗ);
  5. предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» (введён Федеральным законом от 28.06.2010 N 123-ФЗ).

Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд действий:

  1. направить уведомление об обработке персональных данных в уполномоченный орган (Закон № 152-ФЗ Ст. 22 п. 3);
  2. получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4);
  3. уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4).

Уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2).

Выполнение требований 152-ФЗ в банковской сфере

Основная статья: СТО БР ИББС

Поправка от 25 июля 2011 года (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было также утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).

Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:

  • федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
  • под понятие информационной системы персональных данных, приведённое в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).

Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что также противоречит основной идее создания отраслевого стандарта.

В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

Вам также может понравиться

Об авторе admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *