Персональные данные работников
Понятие персональных данных, их обработка, хранение и использование. Составление анкеты и автобиографии при приёме на работу. Документы обязательного пенсионного страхования. Роль профсоюзов по защите прав трудящихся. Технические средства охраны данных.
| Рубрика | Менеджмент и трудовые отношения |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 15.10.2014 |
| Размер файла | 38,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Курсовая работа
Тема: ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ
Дисциплина: Трудовое право
ПОНЯТИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого, можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.
Однако, исходя из определения персональных данных, которое приведено в Законе о персональных данных, можно сделать вывод, что персональные данные - это любая информация, которая позволяет идентифицировать конкретного человека.
Таким образом, для определения состава персональных данных, необходимых работодателю в рамках трудовых отношений, рекомендуется руководствоваться формулировкой, приведенной в Трудовом кодексе РФ.
Персональные данные могут содержать следующую информацию:
- фамилия, имя, отчество;
- пол, возраст;
- физиологические особенности человека;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- состояние здоровья и сексуальная ориентация;
- принадлежность лица к конкретной нации, этнической группе, расе;
- место жительства;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и другие);
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и другие);
- религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);
- финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора
В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия.
Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными. Как следует из смысла Закона, под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека - п. 1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя.
Тем не менее, согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч. работника) без его согласия не допускается.
Документы, содержащие персональные данные
В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 85 ТК РФ и в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:
- анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;
- копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;
- личная карточка N Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;
- трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;
- копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;
- документы воинского учета. Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;
- справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;
- документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;
- документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;
- трудовой договор. В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;
- подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;
- при необходимости - иные документы, содержащие персональные данные работников.
Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.
Право работников на защиту своих персональных данных
В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.
Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.
Также работники, согласно ст. 89 ТК РФ, имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч. на получение копии любой записи, содержащей такие данные.
Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.
Работник также может определить представителя для защиты своих персональных данных. Традиционно представителями работников являются профсоюзы, однако для указанных целей работник может определить иное лицо (физическое либо юридическое), а также защищать права самостоятельно.
Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.
Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения - ст. 89 ТК РФ.
В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать данные работника о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия, если это не связано с трудовыми отношениями. Неприкосновенность частной жизни гарантирована ст. 23 Конституции РФ, и согласно ст. 24 Конституции сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Получение персональных данных от работника
В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Указанный Закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных - обязанность доказать, что эти данные являлись общедоступными - п. 3 ст. 9 Закона о персональных данных. Однако следует учитывать, что в силу п. 5 ч. 1 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.
Получение персональных данных работника от третьих лиц. Согласие работника на получение работодателем персональных данных от третьих лиц
Согласно п. 3 ст. 86 ТК РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.
В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.
Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 ТК РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника.
Работодатель может передавать персональные данные своих бывших работников новым работодателям по их запросам, только при наличии письменного согласия работника.
Из содержания п. 3 ст. 86 ТК РФ следует, что запрашивать информацию у третьей стороны, в том числе и у предыдущего работодателя, нынешний работодатель может только с согласия работника и только если данную информацию нельзя получить у самого работника. Иными словами, потенциальный работодатель вправе запросить информацию при наличии согласия работника, а прежний работодатель вправе ее передать с тем же условием.
Требования к обработке персональных данных
В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:
1) обработка должна осуществляться на законной и справедливой основе;
2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только те персональные данные, которые отвечают целям обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Следует также учитывать положения ст. 86 ТК РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.
Условия обработки персональных данных
С 27 июля 2011 г. вступила в силу новая редакция Закона о персональных данных. Изменения внесены Федеральным законом от 25.07.2011 N 261-ФЗ и распространяются на правоотношения, возникшие с 1 июля 2011 г.
Новая редакция ст. 6 Закона о персональных данных содержит допустимые случаи обработки персональных данных. Один из таких случаев - обработка, необходимая для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных (п. 5 ч. 1 указанной статьи).
Согласно прежней редакции ст. 6 Закона о персональных данных потенциальные работодатели обрабатывали персональные данные соискателей только с их согласия. Со вступлением в силу новой редакции Закона о персональных данных это условие не применяется.
В соответствии с новой редакцией Закона о персональных данных работодатель вправе поручить обработку персональных данных другому лицу. В этом случае обработка возможна только с согласия работника (соискателя). При этом ответственность перед работником (соискателем) за действия указанного лица несет работодатель (ч. 3 ст. 6 Закона о персональных данных).
В силу п. 4 ст. 9 Закона о персональных данных письменное согласие субъекта персональных данных на обработку своих данных должно содержать:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе. При получении согласия от представителя субъекта персональных данных: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
2) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных. Если обработка данных будет поручена другому лицу: наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку по поручению оператора;
3) цель обработки;
4) перечень данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
6) срок, в течение которого действует согласие, а также способ его отзыва;
7) подпись субъекта персональных данных.
Для обработки персональных данных соискателя, содержащихся в письменном согласии лица на такую обработку, дополнительного согласия не требуется.
При недееспособности субъекта персональных данных письменное согласие на обработку его данных дает его законный представитель. В случае смерти субъекта персональных данных такое согласие оформляют его наследники, если оно не было получено от самого субъекта при жизни.
Обработка персональных данных без использования средств автоматизации
Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.
В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Согласно данному Положению обработкой персональных данных без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека (п. 1 Положения, утв. Постановлением Правительства РФ от 15.09.2008 N 687). Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.
Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
Пункт 7 Положения содержит условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, например унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата России от 05.01.2004 N 1.
Согласно пп. "а" п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.
Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения такого согласия (пп. "б" п. 7 Положения).
При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. "в" п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. "г" п. 7 Положения).
Обработка персональных данных с использованием средств автоматизации
Согласно ст. 3 Закона о персональных данных под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).
Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.
Организация учета и хранения персональных данных
Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников. Подробнее об этом см. п. 4 настоящего материала.
Оформление журналов учета персональных данных
Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.
В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.
Требования к помещению, где хранятся персональные данные
Исходя из требований п. 7 ст. 86 и ст. 87 ТК РФ на работодателя возложена обязанность по защите персональных данных работников. Защита персональных данных включает в себя установление особого режима доступа в те помещения, где хранятся такие данные, направленного на защиту последних от несанкционированных доступа, изменений или распространения.
Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные. Однако исходя из требований Трудового кодекса РФ во избежание несанкционированного доступа к персональным данным работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения. Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем.
Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата России от 05.01.2004 N 1. Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 N 558).
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.
Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:
- установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
- установить особый порядок выдачи пропусков и удостоверений работников;
- использовать технические средства охраны;
- использовать программно-технический комплекс защиты информации на электронных носителях и пр.
Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее:
- ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;
- избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными;
- рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации;
- регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;
- создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;
- определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные;
- организовать порядок уничтожения информации;
- своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников;
- проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.
Организация программной защиты персональных данных, содержащихся в информационной системе работодателя
Большинство организаций используют электронные системы хранения и обработки персональных данных.
При обработке таких данных работодатель должен обеспечить их защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 N 1119
Существуют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе (п. 6 Требований) Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно (п. 7 Требований).
Исходя из типа угрозы применяется один из четырех уровней защиты персональных данных (п. п. 8 - 16 Требований).
Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю нужно (п. 13 Требований):
- обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
- обеспечить сохранность носителей персональных данных;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
- издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.
Организация доступа работников к персональным данным других работников
В соответствии со ст. 88 ТК РФ работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
Однако возникают случаи, когда отдельным работникам нужно получить информацию о персональных данных других работников, которые они намереваются использовать при выполнении трудовых обязанностей. Например, бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы или уплаты соответствующих взносов, при направлении работников в командировку секретарю (или иному лицу) понадобятся паспортные данные последних для покупки билетов, юрисконсульту организации данные работников могут понадобиться для оформления доверенностей и т.д. В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций. Например, доступ к персональным данным работников обычно устанавливается для руководителя организации, руководителей структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения), руководителю нового подразделения - при переводе сотрудника из одного структурного подразделения в другое, работникам бухгалтерии и отдела кадров. Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации.
Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным
В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данная норма обязывает работодателя принять локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников. Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.
Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации.
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данная норма подразумевает регулирование порядка обработки персональных данных на локальном уровне. Следовательно, работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Поэтому данный документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой.
Оформление Положения о персональных данных
В соответствии со ст. 68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст. 86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей:
1) "Общие положения". В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) "Основные понятия. Состав персональных данных работников". Здесь следует указать, какие документы в организации содержат персональные данные;
3) "Обработка персональных данных". В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) "Передача персональных данных". Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) "Доступ к персональным данным". В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) "Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных". В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Введение в действие Положения о персональных данных
Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем путем издания приказа, который подписывает руководитель организации или иное уполномоченное на это лицо.
При наличии в организации представительного органа работников Положение о персональных данных должно приниматься с учетом требований ст. 372 ТК РФ. Согласно данной статье перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его издания в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства работников.
Данный орган не позднее пяти рабочих дней со дня получения проекта указанного локального нормативного акта направляет работодателю мотивированное мнение о проекте, составленное в письменной форме. В случае если это мнение выражает несогласие с проектом либо содержит предложения по его совершенствованию, работодатель может согласиться с мнением профсоюзного органа либо в течение трех дней после его получения провести дополнительные консультации с указанным органом в целях достижения решения, устраивающего обе стороны.
Если согласие не достигнуто, возникшие разногласия оформляются протоколом, после чего работодатель имеет право своим решением принять локальный нормативный акт. В свою очередь профсоюзный орган может обжаловать это решение в соответствующую государственную инспекцию труда или в суд. Также согласно ч. 4 ст. 372 ТК РФ указанный орган может начать коллективный трудовой спор в соответствии с нормами Трудового кодекса РФ.
Если на момент проверки организации государственной инспекцией труда Положение о персональных данных было принято и работники ознакомлены с ним под роспись, то оснований для применения санкций нет.
Поскольку исходя из содержания ст. 87 ТК РФ Положение о персональных данных является обязательным документом, в случае проверки организации проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.
Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно ст. 5.27 КоАП РФ. Однако если на момент проверки такое Положение в организации имеется и работники с ним ознакомлены, оснований для применения штрафных санкций к работодателю нет. Тот факт, что на момент приема работников в организацию Положения о персональных данных не было, не будет иметь значения, если работодателем не были допущены нарушения правил хранения, использования и обработки персональных данных.
Ознакомление с Положением о персональных данных
Исходя из требований ст. ст. 68, 86 ТК РФ работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним). Работодатель может также предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в т.ч. с Положением о персональных данных).
Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Исходя из смысла данной нормы, работодатель обязан именно под роспись ознакомить работников с Положением о персональных данных. Рассылка документа по электронной почте не будет считаться ознакомлением под роспись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.
Изменение и дополнение персональных данных
Законом не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных.
Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей. Так, например, работодатель не сможет принять от работника листок временной нетрудоспособности, если в нем будет указана другая фамилия, поскольку Фонд социального страхования в таком случае не возместит работодателю выплаченную сумму.
Аналогичные ситуации могут возникнуть и с заработной платой, если она перечисляется работнику на зарплатную карточку через банк. Помимо этого, работодатель должен уведомить Пенсионный фонд об изменении данных конкретного работника (п. 4 ст. 7 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования").
При изменении данных руководителя организации следует сообщить прежде всего в налоговый орган в течение трех дней (п. 5 ст. 5 Федерального закона от 08.08.2001 N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей"). Для того чтобы выполнить данное требование, нужно воспользоваться формой N Р14001. Посредством заполнения данной формы в налоговый орган сообщаются сведения об изменениях в Едином государственном реестре юридических лиц, не связанных с изменениями в учредительных документах.
В связи с тем что своевременное предоставление изменившихся персональных данных избавит работодателя от многих проблем, следует прописать в Положении о персональных данных обязанность работника ставить работодателя в известность о таких изменениях в конкретный срок.
Исходя из того что персональные данные работника могут содержаться во многих документах работодателя, изменения вносятся следующим образом:
- в личную карточку работника (форма N Т-2). В соответствии с п. 1 Указаний, утвержденных Постановлением Госкомстата России от 05.01.2004 N 1, при изменении сведений о работнике в его личную карточку вносятся новые данные, которые заверяются подписью работника кадровой службы. Следовательно, прежние сведения необходимо зачеркнуть одной чертой и сверху или рядом с соответствующей графой поместить новые данные и заверить подписью работника кадровой службы;
- в трудовую книжку. В соответствии с п. 2.3 Инструкции по заполнению трудовых книжек (утв. Постановлением Минтруда России от 10.10.2003 N 69) изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производятся на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их реквизиты. Указанные изменения вносятся на первую страницу (титульный лист) трудовой книжки. Одной чертой зачеркиваются прежние фамилия, имя, отчество или дата рождения и записываются новые данные. Ссылки на соответствующие документы проставляются на внутренней стороне обложки трудовой книжки и заверяются подписью работодателя или специально уполномоченного им лица и печатью организации (или кадровой службы).
Следует также учитывать, что согласно п. 26 Постановления Правительства РФ от 16.04.2003 N 225 "О трудовых книжках" изменение записей о фамилии, имени, отчестве и дате рождения, а также об образовании, профессии и специальности работника производится работодателем по последнему месту работы на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов.
Для внесения изменений в другие документы, содержащие персональные данные работника (например, книгу учета движения трудовых книжек и т.д.), необходимо в произвольной форме составить приказ об изменении персональных данных конкретного работника. На основании этого приказа будут вноситься изменения во все остальные соответствующие документы. Внесенные изменения необходимо заверить подписью ответственного работника и печатью организации.
Согласно п. п. 26, 27 Инструкции о порядке ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах (утв. Приказом Минздравсоцразвития России от 14.12.2009 N 987н), если работник сменил фамилию, имя или отчество, работодатель должен подать в территориальный орган ПФР заявление об обмене страхового свидетельства в связи с изменением персональных данных, подписанное работником, и опись документов (формы N АДВ-2 и N АДВ-6, утвержденные Постановлением Правления ПФР от 31.07.2006 N 192п). После получения работодателем нового свидетельства его следует выдать в течение недели работнику, который должен расписаться в подтверждение выдачи в сопроводительной ведомости (п. 14 указанной Инструкции).
В соответствии с п. 17 указанной Инструкции страхователь в месячный срок после получения в территориальном органе ПФР страховых свидетельств, запросов об уточнении сведений и решений об отказе в регистрации возвращает в территориальный орган следующие документы:
- сопроводительную ведомость;
- листки исправлений;
- заполненные запросы об уточнении сведений и заявления о выдаче дубликата страхового свидетельства;
- страховые свидетельства, которые не были выданы застрахованным лицам по причине невостребованности или наличия в них ошибок.
Ставить в известность остальные фонды (социального страхования, обязательного медицинского страхования) о смене работником фамилии, имени, отчества не нужно.
Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.)
Закон не обязывает работодателя вносить изменения в трудовой договор при изменении персональных данных работника. Однако такие изменения рекомендуется отражать в трудовом договоре или в дополнительном соглашении к нему. Это, например, позволит избежать следующей ошибки: в соглашении о переводе работника на другую должность в трудовом договоре указана прежняя фамилия работника, а в дополнительном соглашении - новая.
Срок хранения персональных данных
Исходя из положений Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры РФ от 25.08.2010 N 558) данные документы относятся к документам долговременного хранения и сроки их хранения составляют 75 лет или постоянно. Согласно данному Перечню личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания, хранятся постоянно, а иных работников - в течение 75 лет. Трудовые договоры, соглашения, не вошедшие в состав личных дел, должны храниться 75 лет. Также 75 лет хранятся личные карточки. Невостребованные трудовые книжки хранятся 75 лет.
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Ситуации, когда необходима передача персональных данных
В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия данного работника, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в других ситуациях, предусмотренных Трудовым кодексом РФ или иными федеральными законами. Также работодатель не имеет права сообщать персональные данные работника без его письменного согласия в коммерческих целях.
Информация о персональных данных работника может предоставляться при соблюдении вышеуказанных условий как работникам организации, так и должностным лицам государственных органов и другим организациям.
Работодатель обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. В таком случае выдается письменное уведомление об отказе в предоставлении персональных данных.
Обязанность работодателя обеспечивать защиту персональных данных работника подтверждается судебной практикой.
Так, суд указал, что работодатель правомерно не представил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность.
Лица и органы, которым могут передаваться персональные данные без согласия работников
При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) - также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ.
...Подобные документы
Персональные данные работника: понятие и сущность. Ограничение персональных данных от другой информации. Требования к обработке персональных данных работника и гарантия их конфиденциальности. Принципы и условия обработки информации, контроль защиты.
курсовая работа [82,2 K], добавлен 13.02.2013Получение и обработка персональных данных. Анализ программного обеспечения и информационных потоков. Модель угроз информационной безопасности. Основные плюсы и минусы от внедрения системы защиты, содержащих персональные данные сотрудников организации.
курсовая работа [382,0 K], добавлен 23.04.2015Понятие и передача персональных данных. Защита и контроль информации. Уголовная, административная и дисциплинарная ответственность за нарушение правил работы с персональными данными. Главные правила ведения конфиденциального делопроизводства.
курсовая работа [42,7 K], добавлен 19.11.2014Структурное подразделение организации и его персонала. Организация работы с документами, содержащими персональные данные работников. Составление инструкции, регламентирующей работу с персональными данными сотрудников сборочного производства № 90.
дипломная работа [63,7 K], добавлен 26.07.2008Система проведения отбора человеческих ресурсов. Роль анкетных данных для поступающих на работу и собеседований при отборе. Составление письма с просьбой о приеме на работу. Особенности составления резюме. Телефонный разговор по поводу трудоустройства.
реферат [29,9 K], добавлен 28.07.2010Организационно-управленческая, административно-правовая характеристика ЭСО. Прохождение испытаний при приеме на работу. Заключение трудового договора. Особенности мотивации персонала на примере ОАО "КЧЭ". Защита персональных данных работников общества.
курсовая работа [281,5 K], добавлен 16.12.2010Разработка программы исследования и оценки удовлетворенности персонала работой, формулировка гипотез, интерпретация основных понятий и составление анкеты. Сбор первичной социологической информации, обработка данных, формулировка выводов исследования.
курсовая работа [48,1 K], добавлен 08.03.2011Порядок и особенности оформления документов, последовательность действий при приеме на работу, сущность трудового договора. Общие требования при обработке персональных данных работника и гарантии их защиты. Основания прекращения трудового договора.
контрольная работа [28,0 K], добавлен 30.03.2013Профессиональная ориентация и повышение квалификации работников. Программы профессиональной ориентации. Взаимодействие работника и коллектива. Вхождение в организацию при приёме на работу в ЗАО "АСКЕТ". Отбор кандидатов, процедура приема на работу.
курсовая работа [554,2 K], добавлен 13.04.2013Понятие и формы защиты трудовых прав работников. Квалификация самозащиты трудовых прав работников. Характеристика деятельности органов, осуществляющих защиту трудовых прав работников. Контроль за соблюдением трудового законодательства.
курсовая работа [43,0 K], добавлен 30.05.2007Содержание трудового договора, порядок и правила его заключения, назначение и функции. Перечень документов, которые работодатель вправе требовать от лица, поступающего на работу. Случаи, при которых испытание при приёме на работу не устанавливается.
реферат [25,2 K], добавлен 12.03.2011Понятие профсоюзов, их цели функции, история становления и развития, оценка значение и правовая основа деятельности, влияние на эффективность производства предприятий. Сравнительный анализ и исследование работы профсоюзов в различных моделях менеджмента.
курсовая работа [514,8 K], добавлен 18.07.2014Информация о работнике, необходимая работодателю в связи с возникновением трудовых отношений. Отношения, возникающие при формировании, обработке, использовании и защите документированной информации. Права и обязанности работодателя и наемного работника.
презентация [188,4 K], добавлен 08.02.2012Понятие, цели и основные функции управления персоналом. Адаптация, обучение и повышение квалификации работников. Сбор, хранение и учет анкетных данных, стажа, повышения квалификации. Оценка результатов деятельности и трудового потенциала персонала.
презентация [92,8 K], добавлен 18.12.2012Рассмотрение основных требований к формированию дел в делопроизводстве. Определение ряда нормативных актов, декларирующих работу архивов организаций. Изучение комплекса мероприятий по подготовке документов к хранению, налажевания быстрого поиска данных.
курсовая работа [36,2 K], добавлен 11.06.2014Понятие и правовая природа переводов на другую работу. Обязательные условия трудового договора. Режим рабочего времени и отдыха. Компенсации за тяжелую работу и с вредными и опасными условиями труда. Особенности постоянных переводов на другую работу.
дипломная работа [64,8 K], добавлен 20.04.2018Роль, структура и сущность рынка труда. Особенности современного рынка труда. Организационно-финансовые основы рынка труда. Взаимодействие государства, профсоюзов, предпринимателей и трудящихся. Мероприятия, предпринимаемые на рынке труда.
курсовая работа [42,6 K], добавлен 30.10.2005Основные виды рекламных документов для трудоустройства. Составление анкеты и резюме. Искусство управления людьми. Понятие и сущность делегирования полномочий. Предоставление полномочий или прав принятия самостоятельных решений управляющим отделениями.
курсовая работа [35,3 K], добавлен 13.03.2016Цели и задачи информационно-аналитического обеспечения работы с людьми в организации. Функции кадровой информации, обработка персональных данных гражданского служащего. Проблема информационного обеспечения управления персоналом государственноq службs.
реферат [19,3 K], добавлен 25.03.2010Численность и структура персонала предприятия: принципы его организации, функции, роли и штатное расписание. Основные задачи и цели анкеты, автобиографии, резюме, заявления. Правовое обоснование расторжения трудового договора по инициативе работодателя.
контрольная работа [37,9 K], добавлен 13.05.2013
