Хранение и обработка персональных данных

Персональные данныеВ 90-х годах информация о личных данных персонала и клиентов организаций, записанная на дисках, свободно продавалась в России в подземных переходах и на рынках. Ответственность за разглашение конфиденциальной информации появилась в 2001 году, после принятия Госдумой ТК РФ. В 14-й главе документа было дано понятие обработки персональных данных, включающее их получение, способы хранения, комбинирования, уточнения (обновления, изменения), передачи, распространения, блокирования, уничтожения или другого применения .

В соответствии с ТК руководитель организации не может обрабатывать персональные данные без уведомления сотрудника и получения его согласия на обработку, не имеет права получать информацию о религиозных или политических взглядах работника, состоянии его здоровья (когда сведения не относятся к выполнению его служебных обязанностей). Работодатель также отвечает за потерю, намеренное искажение, неправомерную обработку таких данных.

Персональные данные

Какую информацию принято относить к персональным данным? Ст. 23 Конституции гарантирует гражданам право на неприкосновенность и тайну личной (семейной, частной) жизни с защитой своего имени и чести. Совокупность правовых норм регулирует законность действий, связанных со сбором, хранением, обработкой, передачей, использованием личных данных персонала. Среди нормативных актов особое внимание уделяется Положению о персонале. Его разрабатывает руководство компании для своего коллектива. Речь идет о порядке использования персональной информации сотрудников организации.

Персональными для работника данными считают информацию, которая нужна работодателю, чтобы вступить в трудовые отношения. Эти документированные сведения фиксируют на материальном носителе, с указанием идентифицирующих их реквизитов. В акте определяется объем, вид информации, которая составляет персональные данные. Сведения, которые относят к личным данным:

  • информация, установленная ст. 65 ТК РФ и предоставляемая специалистом в момент трудоустройства.
  • база данных, которую формирует руководитель за время трудовой деятельности гражданина в этой организации.
  • сведения о бывших сотрудниках, которые сохраняет организация после расторжения трудовых соглашений.

Информация персонального характера бывает двух видов:

  1. Факты, не подлежащие субъективной оценке (например, специальность по диплому).
  2. Сведения, оценивающие работника (заключение аттестационной комиссии, характеристика).

Обработка персональных данных

Процесс обработки личной информации предполагает:

  • отношения, возникающие при формировании базы информации, основанной на получении, комбинировании, хранении и документировании сведений о каждом принятом на работу гражданине в соответствии с порядком, предусмотренным ст. 86 ТК РФ;
  • использование конкретной документации или другой информации, которую относят к личным данным сотрудника, предоставленным нанимателю.

Субъекты этих отношений ─ это работодатель, сотрудник (его представитель), должностные лица, которым доверено осуществлять обработку персональной информации, а также третьи лица, которые представляют или получают сведения о работнике.

Цели обработки информации о кадрах предприятия:

  1. Обеспечить соблюдение норм законодательства.
  2. Гарантировать личную безопасность претендентов или сотрудников.
  3. Содействовать их трудоустройству или карьерному росту.
  4. Контролировать объем и качество труда и условия сохранности имущества компании.

Принципы обработки персональных данных заключаются в следующих нормах:

  • законности целей и методов обработки;
  • в соответствии целей обработки задачам, заявленным при сборе и полномочиям оператора;
  • достоверности личных данных, их достаточности для указанных целей обработки;
  • в соответствии объема и характера данных, методов обработки их целям;
  • недопустимости объединения создаваемых баз данных для других, несовместимых с поставленными задачами, информационных систем личных данных.

Информацию оператор получает у самого объекта. В исключительных случаях ее могут предоставлять третьи лица при согласовании с ее владельцем путем письменного уведомления, заверенного письменным согласием и подписью субъекта.

Согласие на обработку персональных данных

Согласие гражданина для работы с его персональными сведениями сегодня требуют повсеместно, ссылаясь на ФЗ № 152 «О персональных данных». В действительности документ содержит 11 конкретных оснований, которые можно разделить на 2 категории:

  • ситуации, когда обработка личных сведений возможна только с согласия субъекта;
  • случаи, когда для обработки персональной информации согласие ее владельца не нужно.

Перечень для второго вида оснований в законе исчерпывающий и не подлежит расширенному толкованию. Обработка данных без согласия граждан нужна:

  • для целей, которые предусматривает международный договор РФ и закон, регламентирующий выполнение оператором своих полномочий;
  • для правосудия, исполнения судебного акта;
  • с целью исполнения договоров, стороны которых являются поручителями или выгодоприобретателями;
  • для предоставления госуслуг по ФЗ № 210 «Об организации предоставления государственных услуг» и регистрации субъекта на едином портале госуслуг;
  • для защиты здоровья и жизненно ценных интересов субъекта, если невозможно получить его согласие;
  • реализации прав оператора или законных интересов третьих лиц, если достижение ими общественно значимых целей не нарушает права субъекта этих данных;
  • журналистской, научной, литературной деятельности или работы СМИ, если интересы субъекта личной информации не нарушаются;
  • с целью статистических исследований при условии обезличивания информации;
  • для обязательного опубликования или раскрытия согласно ФЗ.

Все остальные случаи предусматривают обязательное согласие. При отказе гражданина от предоставления личных сведений оператор не вправе отменять выплату пособий и льгот. Он осуществляет обработку данных согласно полномочиям, предоставленным ему государством.

Кроме того, согласно ст. 5 ФЗ «О персональных данных» объем и содержание личной информации, подлежащей обработке, обязаны соответствовать целям, заявленным при обработке. Это означает, что объем используемой информации не должен быть избыточным для указанной цели. Если обоснование необходимости в получении дополнительной информации кажется субъекту неубедительным, он имеет право требовать исключения части сведений или, соглашаясь на обработку, кроме своей подписи, сделать отметку «за исключением персональных данных следующего вида…» с перечислением сведений, нежелательных для обработки.

Ответственность за незаконную обработку личных данных

Понимая высокую ценность баз персональной информации, государство гарантирует права граждан по защите индивидуальных сведений, обязывая работодателей создавать для этого условия на своем предприятии. Согласно ст. 90 ТК РФ, лица, действия (или бездействие) которых повлекло нарушение норм, регламентирующих вопросы получения, защиты или обработки личной информации работников предприятия, несут за него ответственность по закону.

По ФЗ № 24 от 20.02.1995. (ст. 24) ответственность за незаконное предоставление личных данных или ограничение доступа в незаконном порядке к ним, а также нарушения мер по защите информации возлагается на руководящих лиц или органы государственной власти, если их вина установлена гражданским, уголовным законодательством или законами об административных правонарушениях.

Согласно Кодексу об административных правонарушениях (ст. 13), после изменения установленного законодательством порядка использования, в частности распространения данных о субъектах, предусмотрена административная ответственность в виде штрафа в эквиваленте 5 МРОТ или предупреждения по отношению к рядовым сотрудникам.

Если аналогичные действия совершили должностные лица, то размер административного взыскания достигает 10 МРОТ, при нарушении закона юридическими лицами – штраф до 100 МРОТ.

Статьей 137 УК РФ определена уголовная ответственность за незаконный сбор или распространение сведений, касающихся частной жизни субъектов, их семейной или личной тайны без их согласия. Уголовно наказуемо также распространение сведений обозначенной категории при публичных выступлениях, если эти поступки совершены с корыстной целью и могут причинить вред правам субъекта на неприкосновенность его частной жизни. Вид наказания в этом случае возрастает до штрафных санкций в размере 250–500 МРОТ.

Трудно представить сегодня деятельность предприятия без обработки информации о сотрудниках, клиентах, партнерах, других лицах. Несанкционированный доступ к этой базе может приводить к потере, искажению, разглашению сведений. Все это негативно влияет на репутацию и положение дел в организации. Информация личного характера обладает повышенной ценностью и в руках мошенников может стать орудием преступления.

Законодательство обеспечивает защиту прав гражданину при обработке его личных данных. Независимо от перечисленных операций, правовое регулирование охватывает все без исключения стадии, связанные с обработкой личных сведений, от накопления до их уничтожения. Таким образом, организация процесса обработки персональных сведений требует применения целого ряда мер – от изучения целей работы с персональной информацией, разработки внутренних нормативных актов до приобретения оборудования для хранения документов, внедрения систем защиты от неправомерного доступа третьих лиц.

Возникли вопросы? Звоните: +7 /343/ 38-24-788