На які аспекти законодавства про захист персональних даних працівників потрібно звертати увагу при прийомі працівника на роботу? Які документи з ним потрібно оформити?
За порушення законодавства про захист персональних даних працівників роботодавець може бути притягнутий до серйозної відповідальності. Щоб цього уникнути, роботодавець повинен строго виконувати вимоги законодавства про захист персональних даних працівника.
Оскільки трудові відносини припускають обробку персональних даних працівника роботодавцем, тоеще при прийомі на роботу новачка оформляють ряд документів, пов'язаних із захистом персональних даних працівників.
Згідно п. 8 ст. 86 ТК РФ працівники та їх представники повинні бути ознайомлені під розпис з документами роботодавця, що встановлюють порядок обробки персональних даних працівників, а також про їхні права та обов'язки в цій області. На виконання цієї вимоги при прийомі працівника роботодавець знайомить його під розпис з локальним нормативним актом, що визначає порядок обробки персональних даних працівників, його права та обов'язки в цій області.
Згідно п. 3 ст. 86 ТК РФ всі персональні дані працівника слід отримувати у нього самого. Якщо персональні дані працівника можливо отримати тільки в третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про цілі, передбачуваних джерелах і способи отримання персональних даних, а також про характер підлягають отриманню персональних даних і наслідки відмови працівника дати письмову згоду на їх отримання.
Згідно ст. 88 ТК РФ роботодавець не може повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю і здоров'ю працівника, а також в інших випадках, передбачених цим Кодексом або іншими федеральними законами. Таким чином, роботодавець повинен взяти у працівника письмову згоду на повідомлення його персональних даних третій стороні (тим організаціям, особам, яким за законом без згоди працівника передавати такі дані не можна).
Роботодавець повинен захищати персональні дані працівників.
Як випливає зі ст. 19, роботодавець при обробці персональних даних зобов'язаний приймати необхідні правові, організаційні та технічні заходи або забезпечувати їх прийняття для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, надання, поширення персональних даних, а також від інших неправомірних дій щодо персональних даних.
Забезпечення безпеки персональних даних досягається, зокрема:
1) визначенням загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних;
2) застосуванням організаційних і технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені Урядом Російської Федерації рівні захищеності персональних даних;
3) застосуванням пройшли в установленому порядку процедуру оцінки відповідності засобів захисту інформації;
4) оцінкою ефективності вжитих заходів щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;
5) урахуванням машинних носіїв персональних даних;
6) виявленням фактів несанкціонованого доступу до персональних даних та вжиттям заходів;
7) поновленням персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;
8) встановленням правил доступу до персональних даних, оброблюваних в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних;
9) контролем за прийнятими заходами щодо забезпечення безпеки персональних даних і рівня захищеності інформаційних систем персональних даних.
1) призначення відповідального за організацію обробки персональних даних;
2) видання документів, що визначають політику роботодавця щодо обробки персональних даних, локальних актів з питань обробки персональних даних, а також локальних актів, що встановлюють процедури, спрямовані на запобігання та виявлення порушень законодавства Російської Федерації, усунення наслідків таких порушень;
3) застосування правових, організаційних і технічних заходів щодо забезпечення безпеки персональних даних відповідно до статті 19 цього Закону;
4) здійснення внутрішнього контролю і (або) аудиту відповідності обробки персональних даних нормативно-правовим актам, політиці роботодавця щодо обробки персональних даних, локальних актів роботодавця;
5) оцінка шкоди, яку може бути заподіяно працівникам в разі порушення цього законодавства про захист персональних даних, співвідношення зазначеного шкоди і прийнятих роботодавцем заходів;
6) ознайомлення працівників, які безпосередньо здійснюють обробку персональних даних, до положень законодавства Російської Федерації про персональні дані, в тому числі вимог до захисту персональних даних, документами, що визначають політику роботодавця щодо обробки персональних даних, локальними актами з питань обробки персональних даних, і ( або) навчання зазначених працівників.
Роботодавець веде облік осіб, допущених до роботи з персональними даними.
Якщо приймається на роботу працівник, якому буде довірено обробка персональних даних працівників, то роботодавцю потрібно враховувати наступне.
Обов'язки, пов'язані з обробкою персональних даних працівників, прописують у трудовому договорі, посадової інструкції такого співробітника.
Також відповідно до ст. 18.1 працівника, який буде безпосередньо здійснювати обробку персональних даних, потрібно:
- ознайомити з положеннями законодавства Російської Федерації про персональні дані, в тому числі з вимогами до захисту персональних даних,
- ознайомити з документами, що визначають політику роботодавця щодо обробки персональних даних,
- ознайомити з локальними актами з питань обробки персональних даних,
- навчити роботі з персональними даними та режиму захисту персональних даних.
1) здійснювати внутрішній контроль за дотриманням роботодавцем і його працівниками законодавства Російської Федерації про персональні дані, в тому числі вимог до захисту персональних даних;
2) доводити до відома працівників положення законодавства Російської Федерації про персональні дані, локальних актів з питань обробки персональних даних, вимог до захисту персональних даних;
3) організовувати прийом і обробку звернень та запитів суб'єктів персональних даних або їх представників і (або) здійснювати контроль за прийомом і обробкою таких звернень і запитів.