Директор организации располагает многой и порой личной информацией о персонале.
Уже в анкете кандидаты делают акцент на ключевые моменты своей жизни, а когда они становятся сотрудниками, предоставляют и подтверждающие бумаги.
Личные контакты, информация о семье, обучении, карьере – многие не хотят, чтобы эта информация была известна другим.
Важно для бизнесменов понимать: разглашение такой инфы требует основательной причины.
Любые операции с личными данными, будь то их сбор, хранение, классификация, распространение или уничтожение, должны проводиться на правовой почве и с четкой целью.
Обрабатывать можно только те сведения, которые соответствуют установленной задаче.
Чтобы узнать инфу о сотруднике, лучше обратиться к нему напрямую.
Если инфа доступна через сторонние источники, требуется письменное разрешение от самого "субъекта исследования" (п. 3 ст. 86 ТК РФ).
К личным данным относят:
- Имя, пол, дата рождения, фото;
- уровень образования, навыки, курсы;
- адрес проживания;
- семейные отношения, наличие семьи;
- записи о судимости, служба (в армии, госструктурах), прежние работодатели;
- финансовый статус, включая зарплатные данные;
- характеристики человека по мнению других;
- другие идентифицирующие характеристики.
Согласие на использование данных.
Сбор личных данных без разрешения человека является незаконным.
Для обычных людей это очевидно.
И так как, согласно ч. 3ст. 9 Закона о персональных данных, подтверждение такого согласия лежит на работодателе, лучше получить такое утверждение заблаговременно и в письменной форме.
Но необходимо помнить, что сотрудник может аннулировать своё согласие на использование данных, и без нового документа взаимодействовать с информацией о нём становится запрещено.
При обсуждении такой темы с другими сторонами или при изучении категорий, как национальность, религия, личные убеждения или интимные аспекты, потребуется специфическое разрешение, так как обработка этих данных должна прекращаться, когда потребность исчезает.
Создавая согласие, необходимо указать цель использования данных, их список и период действия этого документа. Конечно, требуется учесть, кто ставит подпись и кому разрешено использование данных.
Ситуации, когда разрешение не обязательно:
- данные необходимы для исполнения договора между сотрудником и организацией или для выполнения рабочих функций;
- их обработка указана в внутренних документах: индивидуальном или коллективном соглашении, других регулированиях;
- закон требует открытого доступа к данным о сотрудниках (например, в медучреждениях);
- информация о сотруднике влияет на его способность работать на определенной позиции (например, медицинская справка учителя);
- сведения о родственниках из личного дела или для соцвыплат, доступа к гос.тайне и т.д.;
- на предприятии установлен контроль входа, требующий сбора данных;
- передача данных критически важна для здоровья или жизни;
- в отношении экс-сотрудников (например, для учета);
- предоставление данных банку для зарплатных счетов;
- передача информации необходима в рамках выполнения рабочих обязанностей;
- большинство госструктур (пенсионные фонды, налоговые службы, военкоматы и т.д.) являются исключением и могут получать данные без разрешения.
Технологическая эра.
В современном мире наличие техники и компьютеров — это норма. Сложно найти компанию, где данные сотрудников заносятся ручным способом в блокноты или оформляются на бумаге. Если же в учете данных присутствует человеческий фактор, это считается действием без автоматических инструментов (согласно п. 1 Регламента, утв. Решением Правительства РФ от 15.09.2008 №687). При таком подходе требуются строгие инструкции о методах, формах и целях обработки.
Безопасность и сохранность.
По ст. 86 ТК РФ (п. 7) управляющие предприятием обязаны обеспечивать конфиденциальность данных сотрудников. Способы этого могут варьироваться: от сейфов до охраняемых комнат.
Главное — предотвратить несанкционированный доступ к сведениям. С учетом цифровизации, компьютерная безопасность также критична. ИТ-отдел должен следовать рекомендациям, предоставленным Решением Правительства РФ от 01.11.2012 №1119.
Организация учета.
Помимо индивидуальных дел сотрудников, компаниям рекомендуется вести реестр личных данных: отмечая все изменения и движения документов. В больших организациях нужен и список лиц, имеющих доступ к этой информации.
Защита информации о сотрудниках требует особых правил хранения. Они должны быть зафиксированы в соответствующих документах, и сотрудники должны быть с ними ознакомлены. Обычно для этого создается Положение о личных данных.
Его наличие — не просто рекомендация, а обязательство (см. Решение ФАС Московского округа от 26.10.2006).
Содержание Положения о личных данных:
- вступление: цели, область регулирования, терминология, список корпоративных документов с данными;
- правила обработки и передачи данных;
- условия доступа к информации: внутренний и внешний;
- тайминги по информированию об изменениях в данных;
- стандарты ответственности за нарушения.
Основы гражданских контрактов.
Каким образом действовать с фрилансерами?
Иногда заключение договора по нормам трудового права не устраивает обе стороны.
Итог? Договор на выполнение работы или предоставление услуг.
Но разве это отменяет необходимость защиты личных данных? Для бизнесменов – нет.
Во-первых, законодательство о защите личной информации не делает исключений для разных категорий лиц, во многом дополняя положения Трудового кодекса.
Во-вторых, Гражданский кодекс, в частности п. 4 ст. 434.1, предоставляет сторонам право договориться о конфиденциальности.
Тем не менее, при обработке данных контракторов за пределами рабочих нужд, следует информировать Роскомнадзор.
В рамках трудовых отношений есть особые условия, согласно ст. 22 Закона о личных данных.
Онлайн-бизнес: тонкости.
Взлет интернет-технологий позволил профессионалам работать удаленно.
Но как организовать документооборот, связанный с защитой личных данных?
Цифровизация в бизнесе.
Технологический прогресс стал частью нашей жизни, и мало какое предприятие сегодня обходится без компьютеров.
Тем не менее, когда в учете личных данных задействован человек, это рассматривается как работа без автоматизации (п. 1 документа, принятого решением Правительства РФ 15.09.2008 №687).
Ответственное лицо должно следовать четким рекомендациям по организации и методам обработки, иметь детальные инструкции для форм, регистров и так далее.
Безопасность и хранение.
Согласно ст. 86 ТК РФ (п. 7), руководители обязаны обеспечивать конфиденциальность данных своих сотрудников. Каким образом это реализовывается – решение менеджмента.
Будь то сейф, особое помещение с замком, охрана — важно исключить доступ третьих сторон. Сегодняшний мир также предполагает цифровую обработку, следовательно, нужно думать и о сетевой безопасности.
Технический эксперт компании при этом опирается на нормы, определенные решением Правительства РФ 01.11.2012 №1119.
Организация документации.
В дополнение к личным файлам сотрудников, предприятиям рекомендуется вести реестр их личных данных, фиксируя любые изменения: добавление записей, предоставление информации по требованию, намерения и термины их использования и т.д.
В крупной организации, вероятно, потребуется принятие распоряжения о тех, кто имеет право на просмотр этих данных.
Как было отмечено ранее, в организации должны быть меры по сохранности данных о сотрудниках.
Процедуры хранения следует фиксировать в специальном документе и предоставить сотрудникам для ознакомления и подтверждения.
Обычно для этих целей создается Регламент о личных данных. Правовая позиция считает его обязательным: его отсутствие признается как нарушение трудового кодекса (Решение ФАС Московской области от 26.10.2006 №КА-А40/10220-06 по кейсу №А40-20745/06-148-194).
Что включать в Регламент о личных данных работников?
- вступительная секция: причины создания, сфера применения, ключевые определения, список корпоративных документов с данными сотрудников;
- методики обработки и передачи сведений о работниках;
- правила доступа к этой информации: внутренний (для коллег) и внешний (для гос. структур);
- термины уведомления руководства об изменениях в личных данных;
- критерии ответственности за нарушения установленных норм.
Нюансы гражданских контрактов.Как поступать с удаленными работниками? Работа по трудовым нормам часто не выгодна обеим сторонам.
Зачастую такое сотрудничество приводит к договору на выполнение работ или услуг.
Но, разве это освобождает от заботы о личной информации?
К сожалению для бизнесменов, ответ отрицательный.
Прежде всего, Закон о личных данных равнозначно относится к любым гражданам и, по сути, повторяет многие пункты Трудового кодекса, относящиеся к конфиденциальности информации.
Далее, гражданско-правовые отношения регламентируются ГК РФ, где п. 4 ст. 434.1 позволяет сторонам предварительно определять конфиденциальные аспекты.
Тем не менее, важно помнить: при обработке данных удаленных сотрудников, выходящей за необходимые рамки, нужно информировать Роскомнадзор.
В данном контексте, трудовые взаимоотношения исключены из регулирования (ст. 22 Закона о личных данных).
Особенности веб-бизнеса.
Глобализация Интернета предоставила широкие возможности дистанционной работы.