В конце января текущего года депутаты Государственной Думы России в первом чтении приняли поправки в Кодекс об административных правонарушениях и Уголовный кодекс об ужесточении ответственности за утечку персональных данных (ПДн).
Вопрос защиты персональных данных многогранный и сложный, и сегодня он всё чаще обсуждается в свете участившихся инцидентов. В новой статье эксперты кадрового агентства ЦИБИТ поделятся полезной информацией для работодателей и расскажут о том, как работать с ПДн сотрудников.
· Персональные данные и их обработка: понятия
Начнём с того, что все юридические лица и индивидуальные предприниматели в процессе своей повседневной деятельности (при трудоустройстве сотрудников, рассмотрении резюме потенциальных работников, взаимодействии с клиентами, обработке входящей корреспонденции и т.д.) осуществляют сбор, запись, систематизацию, накопление и иные действия с персональными данными. Это значит, что все эти процессы в компании должны быть выстроены в соответствии с актуальным требованиям законодательства в области ПДн.
Суть понятия персональных данных заключается в том, что эта информация позволяет идентифицировать конкретного человека. Федеральный закон № 152-ФЗ «О персональных данных» даёт чёткие определения ПДн и их обработки:
- «Персональные данные – это любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных)».
- «Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
· Законодательство России в области ПДн
В России работа с персональными данными регламентируется уже указанным выше Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдение которого регулируется Роскомнадзором. Отметим, что законодательство не только устанавливает строгие требования к организациям по соблюдению ими принципов обработки персональных данных, но и постоянно ужесточается.
Так, согласно принятым в январе поправкам в Кодекс об административных правонарушениях и Уголовный кодекс, юридическим лицам или индивидуальным предпринимателям, допустившим утечку данных от 1 тыс. до 10 тыс. граждан, будет назначаться штраф от 3 млн до 5 млн рублей; от 10 тыс. до 100 тыс. граждан — от 5 млн до 10 млн рублей; более 100 тыс. — от 10 млн до 15 млн рублей. За повторное нарушение при любом объёме дискредитированной информации от 1 тыс. субъектов штраф составит от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн рублей и не более 500 млн.
Кроме того, новые законодательные нормы вводят уголовную ответственность для тех, кто незаконно собирает, хранит, использует, передаёт информацию с персональными данными.
Рецепт от ЦИБИТ
Чтобы предупредить утечки персональных данных и избежать штрафов за нарушение законодательных норм, обратитесь в ЦИБИТ за услугой аудита и приведения в соответствие процессов обработки персональных данных требованиям Федерального закона № 152-ФЗ.
· Сложности и нюансы в обработке ПДн сотрудников
В процессе взаимодействия между работодателем и сотрудником возникает множество ситуаций, когда обрабатывается личная информация работника, и в каждой из них могут быть нюансы, спорные моменты и сложности.
Например, уже на этапе поиска персонала работодатель должен получить согласие соискателей на обработку ПДн, в котором обязательно следует указать цель получения данных – рассмотрение кандидата на вакантную должность. Однако, такое согласие не требуется, если от имени соискателя действует кадровое агентство или если данные получены из размещённого в сети Интернет резюме.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно получить подтверждение того, что кандидат сам направил документ. Например, таким подтверждением может стать приглашение соискателя на собеседование в ответ на его письмо.
Ø В соответствии с трудовым законодательством РФ, на этапе трудоустройства работодатель запрашивает у соискателя следующие документы:
- Паспорт или иной документ, удостоверяющий личность;
- Трудовая книжка;
- Документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учёта, в том числе в форме электронного документа (СНИЛС);
- При необходимости: документы воинского учёта, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
Отметим, что, подписывая трудовой договор, работник уже даёт согласие на обработку и внесение ПДн из этих документов в трудовой договор, дополнительно получать согласие не нужно.
Ø Когда ещё нужно получать согласие работников на обработку ПДн:
- При оформлении зарплатной карты и направлении данных работника в банк;
- При размещении данных и/или фотографии сотрудника на сайте, на доске почёта и т.п.;
- При оформлении пропуска на предприятие, если пропускной режим контролирует сторонняя организация.
· Требования к оформлению согласия на обработку персональных данных
Роскомнадзор формулирует следующие требования к оформлению согласия на обработку ПДн:
- Содержание согласия должно быть конкретным, понятным и информативным. Это значит, что по указанным данным можно сделать однозначный вывод о целях и способах обработки ПДн (с указанием действий, совершаемых с данными), объёме обрабатываемых данных;
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
Специалисты ЦИБИТ следят за актуальными нормами законодательства в области защиты персональных данных. Обратитесь к нам за консультацией, чтобы узнать, как соответствовать требованиям!
Эксперты кадрового агентства ЦИБИТ обязательно продолжат тему ПДн в будущих материалах и расскажут о том, что делать с личной информацией уволенных сотрудников, можно ли публиковать «чёрные списки» недобросовестных работников на публичных ресурсах и многое другое.
___
Кадровое агентство ЦИБИТ уже более 8 лет специализируются на подборе персонала и трудоустройстве, в том числе в области ИТ и информационной безопасности.
Услуги кадрового агентства ЦИБИТ:
· Подбор квалифицированных специалистов в области ИТ и информационной безопасности;
· Подбор персонала в соответствии с требованиями Указа Президента РФ № 250 и Приказа Минтруда России № 739н;
· Подбор персонала в соответствии с требованиями ФСБ России и ФСТЭК России;
· Аутсорсинг процесса рекрутмента;
· Проведение профессиональных тестирований, опросов среди сотрудников с предоставлением подробной аналитики;
· Аудит кадров;
· Помощь в сборе рекомендаций по кандидатам;
· Трудоустройство кандидатов.
+7 (495) 792-13-80 • hr@cibit.ru
Вопрос защиты персональных данных многогранный и сложный, и сегодня он всё чаще обсуждается в свете участившихся инцидентов. В новой статье эксперты кадрового агентства ЦИБИТ поделятся полезной информацией для работодателей и расскажут о том, как работать с ПДн сотрудников.
· Персональные данные и их обработка: понятия
Начнём с того, что все юридические лица и индивидуальные предприниматели в процессе своей повседневной деятельности (при трудоустройстве сотрудников, рассмотрении резюме потенциальных работников, взаимодействии с клиентами, обработке входящей корреспонденции и т.д.) осуществляют сбор, запись, систематизацию, накопление и иные действия с персональными данными. Это значит, что все эти процессы в компании должны быть выстроены в соответствии с актуальным требованиям законодательства в области ПДн.
Суть понятия персональных данных заключается в том, что эта информация позволяет идентифицировать конкретного человека. Федеральный закон № 152-ФЗ «О персональных данных» даёт чёткие определения ПДн и их обработки:
- «Персональные данные – это любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных)».
- «Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
· Законодательство России в области ПДн
В России работа с персональными данными регламентируется уже указанным выше Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдение которого регулируется Роскомнадзором. Отметим, что законодательство не только устанавливает строгие требования к организациям по соблюдению ими принципов обработки персональных данных, но и постоянно ужесточается.
Так, согласно принятым в январе поправкам в Кодекс об административных правонарушениях и Уголовный кодекс, юридическим лицам или индивидуальным предпринимателям, допустившим утечку данных от 1 тыс. до 10 тыс. граждан, будет назначаться штраф от 3 млн до 5 млн рублей; от 10 тыс. до 100 тыс. граждан — от 5 млн до 10 млн рублей; более 100 тыс. — от 10 млн до 15 млн рублей. За повторное нарушение при любом объёме дискредитированной информации от 1 тыс. субъектов штраф составит от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн рублей и не более 500 млн.
Кроме того, новые законодательные нормы вводят уголовную ответственность для тех, кто незаконно собирает, хранит, использует, передаёт информацию с персональными данными.
Рецепт от ЦИБИТ
Чтобы предупредить утечки персональных данных и избежать штрафов за нарушение законодательных норм, обратитесь в ЦИБИТ за услугой аудита и приведения в соответствие процессов обработки персональных данных требованиям Федерального закона № 152-ФЗ.
· Сложности и нюансы в обработке ПДн сотрудников
В процессе взаимодействия между работодателем и сотрудником возникает множество ситуаций, когда обрабатывается личная информация работника, и в каждой из них могут быть нюансы, спорные моменты и сложности.
Например, уже на этапе поиска персонала работодатель должен получить согласие соискателей на обработку ПДн, в котором обязательно следует указать цель получения данных – рассмотрение кандидата на вакантную должность. Однако, такое согласие не требуется, если от имени соискателя действует кадровое агентство или если данные получены из размещённого в сети Интернет резюме.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно получить подтверждение того, что кандидат сам направил документ. Например, таким подтверждением может стать приглашение соискателя на собеседование в ответ на его письмо.
Ø В соответствии с трудовым законодательством РФ, на этапе трудоустройства работодатель запрашивает у соискателя следующие документы:
- Паспорт или иной документ, удостоверяющий личность;
- Трудовая книжка;
- Документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учёта, в том числе в форме электронного документа (СНИЛС);
- При необходимости: документы воинского учёта, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
Отметим, что, подписывая трудовой договор, работник уже даёт согласие на обработку и внесение ПДн из этих документов в трудовой договор, дополнительно получать согласие не нужно.
Ø Когда ещё нужно получать согласие работников на обработку ПДн:
- При оформлении зарплатной карты и направлении данных работника в банк;
- При размещении данных и/или фотографии сотрудника на сайте, на доске почёта и т.п.;
- При оформлении пропуска на предприятие, если пропускной режим контролирует сторонняя организация.
· Требования к оформлению согласия на обработку персональных данных
Роскомнадзор формулирует следующие требования к оформлению согласия на обработку ПДн:
- Содержание согласия должно быть конкретным, понятным и информативным. Это значит, что по указанным данным можно сделать однозначный вывод о целях и способах обработки ПДн (с указанием действий, совершаемых с данными), объёме обрабатываемых данных;
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
Специалисты ЦИБИТ следят за актуальными нормами законодательства в области защиты персональных данных. Обратитесь к нам за консультацией, чтобы узнать, как соответствовать требованиям!
Эксперты кадрового агентства ЦИБИТ обязательно продолжат тему ПДн в будущих материалах и расскажут о том, что делать с личной информацией уволенных сотрудников, можно ли публиковать «чёрные списки» недобросовестных работников на публичных ресурсах и многое другое.
___
Кадровое агентство ЦИБИТ уже более 8 лет специализируются на подборе персонала и трудоустройстве, в том числе в области ИТ и информационной безопасности.
Услуги кадрового агентства ЦИБИТ:
· Подбор квалифицированных специалистов в области ИТ и информационной безопасности;
· Подбор персонала в соответствии с требованиями Указа Президента РФ № 250 и Приказа Минтруда России № 739н;
· Подбор персонала в соответствии с требованиями ФСБ России и ФСТЭК России;
· Аутсорсинг процесса рекрутмента;
· Проведение профессиональных тестирований, опросов среди сотрудников с предоставлением подробной аналитики;
· Аудит кадров;
· Помощь в сборе рекомендаций по кандидатам;
· Трудоустройство кандидатов.
+7 (495) 792-13-80 • hr@cibit.ru