Как организовать работу с персональными данными в кадровых подразделениях

В статье даны рекомендации о том, как самостоятельно организовать работу с персональными данными сотрудников, не прибегая к дорогостоящим услугам специалистов. Взяв за основу не раз опробованные на практике советы автора, вы будете знать, какие данные следует защищать, от кого и каким образом организовать защиту, какие документы составить что в них предусмотреть.

Если в компании нет лишних средств для того, чтобы обратиться к специалистам, которые организуют работу с персональными данными, или платить штрафы за нарушения требований закона в этой сфере, то делать все придется своими силами. Из статьи вы узнаете, на что необходимо обратить внимание, какие документы следует составить и какие сведения являются объектами защиты.

Кадровая служба любой организации независимо от организационно-правовой формы, ведомственной принадлежности и количества сотрудников еще в прошлом году обязана была привести обработку персональных данных (ПДн) своих работников в соответствие с нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) и другими действующими нормативно-правовыми актами в области защиты ПДн. Как показывает статистика проверок, проведенных Роскомнадзором в 2010 г. и в первом квартале 2011 г., лишь немногие организации выполнили данную норму закона.

Приведем показательный пример.

Пример 1

Управление Роскомнадзора 1 по Саратовской области летом 2011 г. во время плановой выездной проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных выявило следующие нарушения:

  • отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 181 Закона о ПДн);
  • отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 181 Закона о ПДн);
  • отсутствует документ, определяющий оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн (п. 5 ч. 1 ст. 181 Закона о ПДн);
  • не представлены сведения об ознакомлении работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн документами, определяющими политику оператора в отношении обработки ПДн, и (или) об обучении указанных работников (п. 6 ч. 1 ст. Закона о ПДн);
  • нарушено требование по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, далее – Положение);
  • не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п. 13 Положения).

По результатам проверки компания была оштрафована на 5 000 рублей.

Нормативная база

Оговоримся сразу: статья посвящена исключительно организации работы с ПДн в кадровой службе компании. Обработка персональных данных с иной целью (исполнение обязательств по хозяйственным договорам с физическими лицами, создание клиентских баз, предоставление туристических, образовательных, страховых, медицинских и иных подобных услуг и т.п.) производится по несколько иным правилам и подразумевает другой алгоритм обработки и пакет документов, дополнительные меры защиты.

Для компаний, в которых ПДн обрабатываются с указанными целями, настоятельно рекомендуем не поддаваться соблазну сделать универсальную систему работы с ПДн «для всего» – ввиду различия алгоритмов работы с кадровой документацией и ПДн третьих лиц это неизбежно приведет к путанице и ступору. На наш взгляд, лучше сразу разделить эти алгоритмы и ввести отдельно систему работы с ПДн сотрудников и (в случае необходимости) – с ПДн клиентов и иных сторонних заинтересованных лиц.

Для перфекционистов, сильно продвинутых пользователей и тех, кто хочет максимально приблизиться к идеалу, рекомендуем найти и ознакомиться со следующими весьма любопытными документами:

  1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 15.02.2008;
  2. «Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 14.02.2008;
  3. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства России от 17.11.2007 № 781;
  4. «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК РФ от 05.02.2010 № 58.

Там достаточно подробно, в том числе в схемах, даны ответы на все вопросы. Беда в том, что эти документы крайне тяжелы для чтения и понимания непрофессионалами (видимо, все же не следовало полностью доверять их разработку специалистам-криптографам из ФСБ).

Тем, у кого в штате найдется ветеран соответствующего подразделения ФСБ, ГРУ или СВР, вполне по силам разобраться в этом вопросе самостоятельно. Возможно, придется...

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 300 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание!
20% скидки на 2 полугодие 2021 г. на электронную версию журнала + специальный промокод от 10% на любой тип подписки (бумажная, электронная, комплект с доступом к базе знаний) = скидка от 30%

Рекомендовано для вас

4 главных изменения для работодателей, у которых в штате есть водители

Сотрудники на служебных автомобилях всегда были в центре внимания ГИТ. Причем инспекторы традиционно проверяют не только транспортные организации и их документы на водителей, а всех работодателей, у кого есть корпоративный автопарк. Речь идет о безопасности, охране здоровья, и наказание за нарушения может быть очень серьезным. Рассказываем об основных изменениях, которые произошли за последнее время, в частности как изменились требования к работникам-водителям, режиму их труда и отдыха, а также охране труда.

Составляем приказ о назначении ответственных за пожарную безопасность

Разберемся с тем, кого можно назначить ответственным за пожарную безопасность всей организации, как оформить такой приказ. Ответим на вопросы: кто кроме него и за что может отвечать в данной сфере, почему назначение ответственных лучше закрепить отдельным приказом, по каким поводам и как часто переиздавать эти приказы, как правильно оформлять на них отметки об ознакомлении, какое обучение должны пройти ответственные?

Как работать с самозанятыми

Компании необходимо выполнить какие-то работы и, желая сэкономить на налогах и взносах, она находит самозанятого специалиста, уплачивающего налог на профессиональный доход. В сотрудничестве с самозанятыми есть неоспоримые плюсы. Но не надо забывать и о минусах. Не посчитают ли проверяющие (трудовые инспекторы и налоговики), что под самозанятость замаскированы трудовые отношения? Выявление признаков трудовых отношений является основанием для проверки и привлечения работодателей к ответственности за нарушение налогового и трудового законодательства. Поэтому важно знать о рисках сотрудничества с гражданами, применяющими налог на профессиональный доход. Чтобы их избежать, расскажем об особенностях взаимоотношений с самозанятыми, о том, как правильно составить договор, на что необходимо обратить особое внимание. А также выясним, что в действительности интересует проверяющих и суды при разрешении споров по поводу работы самозанятых.

Учебный отпуск: порядок и особенности предоставления

Рассказываем про порядок оформления учебного отпуска. Какие документы необходимо предоставить работнику? На какой срок он может взять отпуск? Всегда ли такой отпуск оплачивается? Можно ли сократить продолжительность отпуска, указанного в справке-вызове? Отозвать из отпуска или продлить его? Когда нужно оплачивать проезд до места учебы? Какие еще обязательства есть у работодателя в отношении сотрудника, который получает образование? Как оформить учебный отпуск? Даем образцы заявления на отпуск, приказа о предоставлении отпуска, оформления записей в табеле учета рабочего времени и личной карточке работника.

Сверхурочная работа и работа в выходные дни: проблемы применения законодательства

Рассмотрены коллизионные вопросы, связанные с оплатой, а также ограничением по количеству часов сверхурочной работы и работы в выходные дни. На конкретных примерах показано, как вычислить размер заработной платы сотрудника при суммированном учете рабочего времени в случае, если он ­работал сверхурочно.

Медосмотры при приеме на работу

В некоторых случаях заключение с сотрудником трудового договора без проведения обязательного предварительного медицинского осмотра является нарушением законодательства о труде. Из статьи вы узнаете, для каких категорий работников обязательны такие обследования, о порядке их проведения и налогообложении расходов на медосмотры.

Длительный прогул: сложности увольнения

Практически каждый работодатель рано или поздно сталкивается с ситуацией, когда кто-либо из сотрудников вдруг, без каких-либо предупреждений, не выходит на работу. Это настоящая головная боль для кадровой службы: упорно ждать выхода на работу пропавшего сотрудника или искать на его место нового, увольнять отсутствующего работника за прогул или ждать более года и признавать его безвестно отсутствующим? И это далеко не полный перечень вопросов, которые возникают перед кадровиком в подобной ситуации. Только четкое соблюдение всех требований трудового законодательства позволяет грамотно и с наименьшими материальными затратами решить проблему.

Если совместительство становится основным местом работы: позиция Роструда

Зачастую работа по совместительству становится для сотрудника основной. При этом кадровики чаще всего в данной ситуации производят оформление посредством перевода, дополнительного соглашения либо через увольнение работника. В статье рассматривается правомерность вышеуказанных процедур. Кроме того, автор пытается найти ответы на следующие вопросы: что же такое совместительство – вид трудового договора либо его условие, кто вправе делать запись о совместительстве, возможна ли автоматическая трансформация совместительства в основное место работы?