Как организовать систему обработки персональных данных работников компании

Безусловным трендом последних лет является ужесточение ответственности за нарушение законодательства в области персональных данных (далее – ПДн). Об этом свидетельствуют принятые законы и обсуждаемые законопроекты, например, введение оборотных штрафов за утечки ПДн, возможность внеплановых проверок регулятора и т.д. Учитывая это, компаниям необходимо организовать систему обработки ПДн работников компании не с формальной точки зрения, а с целью реальной защиты данных. О том, как это сделать, расскажет в данной статье Карине Маргарян, юрисконсульт по информационной безопасности RTM Group.

Согласно статистике Роскомнадзора, количество нарушений в области ПДн в 2022 г. выросло более чем в 3 раза.

В течение 2022 г. РКН выполнил 113 плановых и 91 внеплановую поверку. Было проведено 2367 профилактических визитов и 3228 мероприятий без взаимодействия с контролируемыми лицами. Сумма штрафов составила 50,2 млн рублей.

К ПДн работника относятся как общая информация о нём (фамилия, имя, отчество; дата рождения; адрес; образование и т.д.), так и иные категории ПДн, включая специальные (расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья и т.д.) и биометрические (фото и видео с сотрудником, голос сотрудника, дактилоскопические данные, радужная оболочка глаз и т. д.).

Статья 65 Трудового кодекса РФ предусматривает, что при приёме на работу работодатель должен запросить у работника определенные документы: паспорт, трудовую книжку, диплом и др.).

К иным документам, которые содержат ПДн работника, относятся: анкета соискателя, СНИЛС, свидетельства о заключении и расторжении брака, рождении детей и т. д.

Компания вправе затребовать ПДн только с определенными целями (ч. 2 ст. 5 закона № 152). Например, ПДн необходимы работодателю для рассмотрения резюме соискателей, заключения трудовых договоров, выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д.

Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152).

Компания обязана уведомить работника о том, с какой целью запрашивает его ПДн (п. 4 ч. 4 ст. 9 закона № 152). Цели указываются в согласии работника на обработку ПДн, а также закрепляются в локальных актах организации.

Под обработкой понимают любое действие с ПДн. Например, сбор, хранение, уточнение, использование ПДн работника (п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Вот краткий алгоритм действий для организации обработки персональных данных сотрудников:

• Разработать и утвердить Положение о ПДн и отразить в нем правила обработки и хранения ПДн. Ознакомить с Положением работников под подпись;
• Назначить ответственного за работу с ПДн;
  
• Получить у работников согласие на обработку ПДн;

• Хранить ПДн необходимо так, чтобы к ним имели доступ только уполномоченные сотрудники. Если ПДн на бумаге, то стоит положить документы в сейф, несгораемый шкаф или в специальное помещение. Также необходимо ввести распределение ролей при предоставлении доступа в информационные системы ПДн (п. 8.2 Приказа ФСТЭК России от 18.02.2013 № 21) Хранить информацию в электронном виде разрешено только на сервере в России (ст. 18 ФЗ-152);
• Уничтожать ПДн: по достижении целей обработки; по окончании срока хранения; при наступлении иных законных оснований. С 1 марта 2023 года факт уничтожения ПДн нужно подтвердить документами, предусмотренными приказом Роскомнадзора от 28.10.2022 № 179. По новым правилам, если обработка ПДн осуществляется без использования средств автоматизации, то документом, подтверждающим уничтожение ПДн, является акт об уничтожении ПДн. Если обработка ПДн осуществляется с использованием средств автоматизации, то документами, подтверждающими уничтожение ПДн, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн.
• Подать уведомление в Роскомнадзор; С 1 сентября 2022 г. НЕ нужно уведомлять регулятора о начале обработки ПДн: Если ПДн обрабатываются исключительно без средств автоматизации; Если обработка данных осуществляется в целях защиты государственной безопасности, транспортной безопасности, общественного порядка.
  

Лица, виновные в нарушении положений законодательства РФ в области ПДн при обработке ПДн работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством, а также привлекаются к гражданско-правовой, административной (ст. 5.39, 13.11, 13.14 КоАП РФ) и уголовной ответственности (ст. 137, 140, 272 УК РФ).

Работодателя могут оштрафовать за избыточный сбор данных, отсутствие согласия работника и т.д.

Дела о моральном вреде рассматривает суд по иску работника.

Статья 137 УК РФ охраняет от посягательств не всю частную жизнь человека, а только лишь ту ее сторону, которая составляет личную или семейную тайну.

До 2030 года действует мораторий на плановые надзорные мероприятия, однако Постановление Правительства РФ № 161 от 04.02.2023 г. предоставило Роскомнадзору возможность осуществлять внеплановые проверки по фактам утечки ПДн. Такие же проверки могут проводиться в отношении аккредитованных IT-компаний.

Остались также профилактические визиты. От проведения такого визита можно отказаться. Во время визита сотрудники Роскомнадзора дают операторам разъяснения и рекомендации по организации обработки ПДн.

• Факт направления уведомления в Роскомнадзор;
• Наличие необходимых локальных нормативных актов;
  
• Назначение ответственного за организацию работы с персональными данными;
  
• Порядок хранения и уничтожения персональных данных;
  
• Информационные системы;
• Наличие жалоб о нарушении прав субъектов персональных данных;
  
• Выполнение иных требований, установленных ФЗ-152.
  

Как в 2023 г. подготовиться к проверке Роскомнадзора:

1. Проверить наличие всех документов по ПДн и убедиться, что они соответствуют требованиям законодательства. При необходимости внести коррективы и переподписать документы с работниками.
2. Проверить условия хранения электронных и бумажных носителей, содержащих ПДн.
   
3. Ознакомить персонал под подпись с положением о защите ПДн и другими локальными нормативными актами, регулирующими данную сферу.
   

Общие рекомендации операторам ПДн были даны Роскомнадзором 8 августа 2023 на своем официальном сайте.

1. Минимизировать перечень собираемых и обрабатываемых ПДн. Проведите анализ форм сбора данных соискателей; перечня документов, которые вы запрашиваете у работников, чтобы исключить избыточный сбор ПДн.
2. Обеспечить раздельное хранение различных категорий ПДн (клиентов, работников, соискателей и т. д.), включая несовместимые между собой по целям обработки. Более подробно об этом указано выше в статье.
   
3. Хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (переписка, договоры и т. д.) в разных базах данных.
   
4. Отказаться от практики накопления персональных данных «на всякий случай», своевременно уничтожать ПДн персональные данные при достижении цели их обработки или иных установленных случаях.
   
5. Использовать технические и программные средства для обеспечения необходимого уровня безопасности данных.
   
6. Необходимо также разработать локальные нормативные акты по защите ПДн при их обработке.
   
7. Информировать Роскомнадзор в сроки, установленные ст. 21 ФЗ-152, о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.
   
8. Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
   
9. Назначить ответственного за защиту персональных данных.
   

Отдельно хотелось отметить, что эффективность многих мер, принимаемых работодателями, зависит от регулярного обучения персонала и ознакомления с положениями законодательства о ПДн, в том числе требованиями к защите ПДн. Поэтому не стоит забывать об этой обязанности оператора ПДн (ст. 18.1 ФЗ-152).