Работа с персональными данными сотрудников: гид для работодателя

Все юридические лица и индивидуальные предприниматели в процессе повседневной деятельности (при трудоустройстве сотрудников, рассмотрении резюме потенциальных работников, взаимодействии с клиентами и т.д.) осуществляют сбор, запись, систематизацию, накопление и иные действия с персональными данными, то есть выступают операторами персональных данных.

Проще говоря, если в Вашей компании работает более одного сотрудника, то Вы работаете с такими данными и обязаны соблюдать нормы закона, предусмотренные в этой области.

Начнём с определения:

«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Например, процессом обработки персональных данных будет запрос и запись паспортных данных при найме сотрудника, создание списков работников с указанием ФИО и прочее.

• Законодательство в области персональных данных

Отметим, что в последние несколько лет очевидна тенденция ужесточения норм закона в рассматриваемой области. Законодательство Российской Федерации и международное законодательство, ратифицированное Россией, устанавливает строгие требования к организациям по соблюдению ими принципов обработки персональных данных и выполнению обязанностей, прямо налагаемых законом на операторов.

В России процессы обработки персональных данных регламентируются Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Сегодня нарушение установленных норм влечёт наложение административного штрафа: на граждан – в размере от двух до шести тысяч рублей; на должностных лиц – от десяти до двадцати тысяч рублей; на юридических лиц – от шестидесяти до ста тысяч рублей.

• Как не нарушить закон?

Для того, чтобы все процессы работы с персональными данными сотрудников в компании строго соответствовали законодательным нормам, следует обратить внимание на принципы обработки такой информации, изложенные в Федеральном законе № 152-ФЗ, в статье № 5:

«Принципы обработки персональных данных:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом».

• Приведение процессов обработки персональных данных в компании в соответствие требованиям ФЗ-152

Очевидно, что выполнение описанных требований закона требует определённых знаний и компетенций, и следить за соблюдением всех пунктов самостоятельно может быть трудно.

Департамент проектов Группы компаний «ЦИБИТ» оказывает услугу по приведению в соответствие обработки персональных данных требованиям законодательства.

Что важно, эксперты «ЦИБИТ» имеют большой практический опыт взаимодействия с регуляторами. Эксперты готовы оказать помощь в приведении процессов обработки персональных данных в компании в соответствие требованиям законодательства.

Среди целей оказания такой услуги:

• Обследование организации с целью получения представления о существующей системе обработки персональных данных и подготовка предложений по её улучшению;
• Применение правовых, организационных и технических мер защиты информации для приведения компании в соответствие требованиям законодательства;
• Поддержание достигнутого уровня безопасности.