I. Общие положения и нормативная база
1. Что такое Положение о защите персональных данных работников?
Положение о защите персональных данных работников – это локальный нормативный акт, который устанавливает порядок обработки, хранения, передачи и защиты персональных данных работников в организации в соответствии с требованиями законодательства.
2. Обязательно ли иметь такое Положение в организации?
Да, обязанность работодателя принять локальный нормативный акт, устанавливающий порядок обработки персональных данных работников, а также их права и обязанности в этой области, прямо предусмотрена статьей 86 Трудового кодекса РФ и статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ.
3. На основании каких законов разрабатывается Положение?
Разработка осуществляется в первую очередь на основании главы 14 Трудового кодекса РФ («Защита персональных данных работника») и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4. На кого распространяется действие Положения?
Действие Положения распространяется на всех работников организации, чьи персональные данные обрабатываются, а также на всех сотрудников работодателя (руководителей, кадровую службу, бухгалтерию, IT-специалистов), имеющих доступ к таким данным.
5. Кто является оператором персональных данных работников?
Оператором персональных данных является работодатель – юридическое лицо или индивидуальный предприниматель, который организует и осуществляет обработку персональных данных своих работников.
6. Что понимается под обработкой персональных данных?
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
7. Что относится к персональным данным работника?
Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. К ним относятся: Ф.И.О., паспортные данные, ИНН, СНИЛС, адрес, сведения об образовании, трудовом стаже, составе семьи, состоянии здоровья и др. (ст. 85, 86 ТК РФ).
8. Может ли Положение быть частью другого локального акта?
Да, положения о защите персональных данных могут быть включены отдельным разделом, например, в Правила внутреннего трудового распорядка. Однако целесообразнее разрабатывать его как самостоятельный документ ввиду объема и важности регулируемых вопросов.
9. Какова основная цель принятия Положения?
Основная цель – обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установить внутренние правила обработки данных для работодателя.
⬆II. Разработка, утверждение и ознакомление
10. Кто разрабатывает Положение о защите персональных данных?
Разработка обычно поручается кадровой службе, юридическому отделу или иному уполномоченному работодателем лицу, часто во взаимодействии со специалистом по информационной безопасности.
11. Требуется ли учитывать мнение представительного органа работников?
Принятие локальных нормативных актов, непосредственно связанных с трудовой деятельностью работников, требует учета мнения выборного органа первичной профсоюзной организации (при ее наличии) в порядке, установленном статьей 372 ТК РФ.
12. Кто утверждает Положение?
Положение утверждается руководителем организации (индивидуальным предпринимателем) путем издания соответствующего приказа или проставления грифа утверждения на самом документе.
13. Обязательно ли знакомить работников с Положением?
Да, работники и их представители должны быть ознакомлены под подпись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ).
14. Когда нужно знакомить работника с Положением?
Ознакомление целесообразно проводить при приеме на работу до подписания трудового договора. С действующими работниками – при первом введении Положения или его изменении.
15. Как оформить факт ознакомления работника с Положением?
Факт ознакомления фиксируется в специальном журнале ознакомления с локальными нормативными актами, листе ознакомления, приложенном к Положению, или путем получения отдельной расписки от работника.
16. Можно ли ознакомить работника с Положением в электронном виде?
Да, если в организации действует система электронного документооборота, позволяющая достоверно установить факт и время ознакомления работника с документом (например, с использованием электронной подписи).
17. Что делать, если работник отказывается знакомиться с Положением?
Необходимо составить акт об отказе в присутствии свидетелей. Это подтвердит, что работодатель исполнил свою обязанность по предоставлению информации. Однако такой отказ может быть основанием для применения дисциплинарных мер, если ознакомление является обязательным условием допуска к работе.
⬆III. Содержание и структура Положения
18. Какие основные разделы должны быть в Положении?
Типичная структура включает:
- общие положения;
- перечень и состав обрабатываемых персональных данных;
- цели обработки;
- порядок обработки, хранения и защиты данных;
- права и обязанности работника и работодателя;
- ответственность за нарушение правил обработки.
19. Нужно ли в Положении указывать конкретный перечень персональных данных?
Да, работодатель должен определить состав обрабатываемых персональных данных и закрепить его в Положении. Это соответствует принципу законности и конкретности целей обработки.
20. Какие цели обработки данных должны быть указаны?
Цели должны быть конкретными и законными. В трудовых отношениях это: обеспечение соблюдения законов и иных нормативных актов; содействие работникам в трудоустройстве, обучении и продвижении по службе; обеспечение личной безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества.
21. Как в Положении отразить перечень лиц, имеющих доступ к данным?
В Положении устанавливается, что доступ к персональным данным предоставляется только специально уполномоченным лицам (например, руководителю, специалистам кадровой службы, бухгалтерии, IT-отдела), и определяется для каждой категории доступных им данных.
22. Нужно ли включать в Положение описание технических мер защиты?
Да, Положение должно содержать общее описание мер, принимаемых для защиты данных (организационных и технических). Детальное описание технических мер может быть вынесено в отдельные внутренние регламенты или инструкции.
23. Как прописать порядок передачи данных третьим лицам?
В Положении закрепляется, что передача данных третьим лицам возможна только с письменного согласия работника, за исключением случаев, прямо предусмотренных законом (например, в Пенсионный фонд, ФНС, военкомат). Определяется порядок получения такого согласия.
24. Должно ли Положение регулировать вопросы трансграничной передачи данных?
Если такая передача потенциально возможна (например, в головной офис за рубеж), то в Положении необходимо установить соответствующий порядок и условия, соответствующие требованиям Федерального закона № 152-ФЗ.
25. Как отразить в Положении сроки хранения персональных данных?
Указывается, что персональные данные хранятся в течение срока, необходимого для достижения целей обработки, или в течение срока, установленного законодательством (например, срок хранения кадровых документов).
⬆IV. Права работника в области персональных данных
26. На что имеет право работник в отношении своих персональных данных?
Работник имеет право на:
- полную информацию о своих персональных данных и их обработке;
- свободный бесплатный доступ к своим данным;
- требование об исключении или исправлении неверных или неполных данных; отзыв согласия на обработку данных и др. (ст. 89 ТК РФ).
27. Может ли работник получить копии документов, содержащих его персональные данные?
Да, работник или его представитель имеют право получать бесплатно копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.
28. Может ли работник отказаться от предоставления работодателю некоторых данных?
Работник обязан предоставить работодателю данные, необходимые для заключения и исполнения трудового договора. Отказ в предоставлении таких данных может служить основанием для отказа в приеме на работу. Предоставление иных данных зависит от воли работника.
29. Как работник может отозвать согласие на обработку персональных данных?
Путем подачи письменного заявления работодателю. Однако отзыв согласия не лишает работодателя права обрабатывать данные в случаях, предусмотренных законом (например, для исполнения обязанностей, возложенных законодательством).
30. Что делать, если работник обнаружил, что его данные неверны?
Работник вправе потребовать от работодателя исключить неверные или неполные данные, а также дополнить их. Работодатель обязан проверить достоверность данных и внести необходимые изменения (ст. 89 ТК РФ).
31. Может ли работник запретить передачу своих данных определенным лицам внутри организации?
Если передача данных внутри организации необходима для выполнения трудовых функций, а доступ предоставлен уполномоченным лицам, то запрет работника не будет иметь юридической силы. Цели обработки должны быть указаны в Положении.
⬆V. Обязанности работодателя (оператора)
32. Каковы основные обязанности работодателя по защите персональных данных?
Работодатель обязан:
- обрабатывать данные в соответствии с законом;
- обеспечивать их защиту от неправомерного доступа;
- предоставлять работнику информацию об обработке;
- не запрашивать информацию о состоянии здоровья, политических и религиозных убеждениях без согласия (ст. 86, 87 ТК РФ).
33. Должен ли работодатель получать согласие работника на обработку данных?
Для обработки данных, необходимых для исполнения трудового договора, отдельное согласие не требуется, так как это является правомерной целью работодателя. Однако на обработку специальных категорий данных (о здоровье) или для передачи третьим лицам (кроме обязательных случаев) согласие требуется.
34. Какие данные работодатель не вправе запрашивать у работника?
Запрещается запрашивать информацию о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, если это не связано с трудовыми отношениями. Также не допускается запрашивать данные о состоянии здоровья, за исключением случаев, когда это необходимо для определения пригодности к работе (ст. 86 ТК РФ).
35. Обязан ли работодатель уведомлять Роскомнадзор об обработке данных?
Работодатель как оператор персональных данных обязан до начала обработки направить уведомление в уполномоченный орган (Роскомнадзор), если не подпадает под исключения, предусмотренные статьей 22 Федерального закона № 152-ФЗ (например, обработка данных только для трудовых отношений).
36. Какие меры защиты данных должен обеспечить работодатель?
Работодатель обязан применять правовые, организационные и технические меры, включая: определение перечня лиц, имеющих доступ; использование средств защиты информации (шифрование, антивирусы); назначение ответственного; обучение сотрудников.
37. Нужно ли назначать ответственного за обработку персональных данных?
Да, работодатель должен назначить лицо, ответственное за организацию обработки персональных данных. Эту функцию может исполнять как отдельный сотрудник, так и руководитель кадровой службы, юрист и т.д. Факт назначения оформляется приказом.
⬆VI. Обработка, хранение и передача данных
38. Каков общий порядок обработки персональных данных?
Обработка должна осуществляться с соблюдением принципов законности, целевой ограниченности, достоверности, адекватности и безопасности. Все действия с данными должны быть документированы.
39. Как должны храниться персональные данные?
Данные должны храниться в форме, позволяющей определить субъекта данных, не дольше установленных сроков. При хранении должны соблюдаться условия, обеспечивающие их сохранность и исключающие несанкционированный доступ.
40. Можно ли хранить данные в электронном виде?
Да, электронная форма хранения допускается при условии реализации необходимых технических мер защиты информации, включая использование средств криптографической защиты и систем разграничения доступа.
41. Когда можно передавать персональные данные без согласия работника?
Без согласия работника передача возможна в случаях, предусмотренных законом: в Пенсионный фонд РФ, ФНС России, Фонд социального страхования, военкоматы, правоохранительные органы по их мотивированному запросу и в иных установленных законом случаях.
42. Как оформляется передача данных внутри организации?
Внутренняя передача данных между структурными подразделениями (кадры – бухгалтерия) осуществляется на основании внутренних регламентов и положений. Факт передачи, как правило, специально не оформляется, если доступ уполномоченных лиц предусмотрен Положением.
43. Можно ли передавать данные в профсоюз?
Да, работодатель обязан беспрепятственно передавать выборному органу первичной профсоюзной организации персональные данные работников, необходимые для выполнения им своих уставных задач, при условии соблюдения требований закона о защите данных.
44. Как обрабатывать данные уволенных работников?
Персональные данные уволенных работников подлежат уничтожению или обезличиванию по истечении установленных сроков хранения кадровых документов, если иное не предусмотрено законодательством.
45. Что такое обезличивание персональных данных?
Обезличивание – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Это один из способов завершения обработки.
⬆VII. Специальные категории и биометрические данные
46. Что относится к специальным категориям персональных данных?
К специальным категориям относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка, как правило, запрещена, за исключением ряда случаев.
47. Можно ли обрабатывать данные о состоянии здоровья работника?
Обработка данных о состоянии здоровья допускается, если она необходима для установления инвалидности, определения пригодности к работе, оказания медицинской помощи, и только с письменного согласия работника, если иное не предусмотрено законом.
48. Являются ли фотографии работника биометрическими данными?
Да, фотография позволяет установить личность и относится к биометрическим персональным данным. Их обработка требует письменного согласия субъекта, за исключением случаев, установленных законом.
49. Требуется ли согласие на использование фотографии на пропуске или в внутренней базе?
Использование фотографии для пропуска или внутреннего учета обычно рассматривается как обработка биометрических данных в целях контроля доступа на территорию работодателя, что требует получения письменного согласия работника.
50. Что делать, если работник отказывается дать согласие на обработку биометрических данных?
Работодатель должен предложить альтернативный способ идентификации личности (например, визуальная проверка по паспорту охраной). Нельзя принуждать работника дать согласие или применять санкции за отказ.
⬆VIII. Контроль, мониторинг и видеонаблюдение
51. Может ли работодатель контролировать электронную почту работника?
Работодатель вправе контролировать служебную электронную почту, выданную работнику, при условии, что работник был предварительно уведомлен о таком контроле и возможных целях мониторинга. Данные правила должны быть закреплены в Положении.
52. Допустимо ли использование систем видеонаблюдения на рабочем месте?
Да, видеонаблюдение в общедоступных местах (офисы, коридоры, склады) для обеспечения безопасности и контроля за производственным процессом допустимо. Однако установка камер в местах, где предполагается приватность (туалеты, комнаты отдыха), запрещена. Работники должны быть уведомлены о факте видеонаблюдения.
53. Нужно ли получать согласие работника на видеонаблюдение?
Прямого согласия на наблюдение в общедоступных рабочих зонах не требуется, если наблюдение осуществляется в законных интересах работодателя (безопасность, охрана имущества) и работники уведомлены. Однако это спорный вопрос, и локальное регулирование обязательно.
54. Можно ли использовать данные видеонаблюдения для дисциплинарного взыскания?
Да, записи с камер видеонаблюдения могут использоваться в качестве доказательства нарушения работником трудовой дисциплины, если порядок использования таких данных заранее определен и доведен до сведения работников.
⬆IX. Ответственность за нарушения
55. Какая ответственность предусмотрена за разглашение персональных данных?
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность (ст. 90 ТК РФ).
56. Что грозит работодателю за отсутствие Положения?
Отсутствие Положения является нарушением требований трудового законодательства и может повлечь административную ответственность по части 1 статьи 5.27 КоАП РФ (штраф).
57. Каковы штрафы по КоАП РФ за нарушение закона о персональных данных?
Штрафы для юридических лиц могут достигать значительных сумм (до 75 тыс. руб. за обработку данных без согласия, до 300 тыс. руб. за отсутствие необходимых мер защиты) по статьям 13.11, 13.12 КоАП РФ.
58. Может ли работник потребовать компенсацию морального вреда за разглашение данных?
Да, если действиями работодателя или его сотрудников работнику причинены нравственные или физические страдания из-за незаконного разглашения персональных данных, он вправе требовать компенсации морального вреда в судебном порядке.
59. Является ли разглашение данных основанием для увольнения?
Да, разглашение персональных данных другого работника, ставшее известными в связи с исполнением трудовых обязанностей, может являться основанием для увольнения по пункту «в» части 6 статьи 81 ТК РФ (однократное грубое нарушение трудовых обязанностей).
⬆X. Изменение Положения и иные вопросы
60. Как внести изменения в Положение?
Изменения вносятся в том же порядке, что и принятие Положения: разработка проекта изменений, учет мнения профсоюза (при его наличии), утверждение приказом руководителя и ознакомление всех работников под подпись.
61. Как часто нужно пересматривать Положение?
Закон не устанавливает периодичности. Положение следует пересматривать при изменении законодательства, структуры компании, технологий обработки данных или по результатам проверок контролирующих органов.
62. Нужно ли разрабатывать отдельное Положение для каждого филиала?
Нет, если филиал не является самостоятельным оператором данных. Действие единого Положения головной организации может распространяться на все филиалы. При этом ответственные лица в филиалах должны быть назначены.
63. Требуется ли согласие на обработку данных при приеме на работу?
Для обработки данных, необходимых для заключения трудового договора (указанных в статье 65 ТК РФ), отдельное согласие не требуется. Соискатель предоставляет их добровольно. Однако для иных данных (например, для проверки рекомендаций) может потребоваться согласие.
64. Как Положение связано с политикой конфиденциальности на сайте?
Политика конфиденциальности на сайте регулирует обработку данных посетителей сайта (клиентов, партнеров). Положение о защите персональных данных работников – это внутренний документ для сотрудников. Это разные, но взаимосвязанные документы.
65. Что делать при утечке персональных данных?
Работодатель обязан в течение 72 часов с момента обнаружения утечки уведомить об этом Роскомнадзор, а также, если это может причинить вред субъектам данных, уведомить и самих субъектов. Должны быть приняты меры по ликвидации последствий инцидента.
⬆XI. Работа с персональными данными в цифровой среде
66. Можно ли обрабатывать персональные данные в облачных сервисах?
Обработка персональных данных с использованием облачных технологий допускается при условии обеспечения надлежащего уровня защиты информации, предусмотренного законодательством, и заключения с оператором облачного сервиса соглашения, соответствующего требованиям Федерального закона № 152-ФЗ.
67. Как обеспечить защиту данных при удаленной работе?
При удаленной работе необходимо применять дополнительные меры защиты: использование защищенных каналов связи (VPN), двухфакторной аутентификации, шифрование дисков на устройствах работников, строгое регламентирование доступа к корпоративным системам и регулярный инструктаж сотрудников.
68. Разрешается ли хранить базу данных сотрудников на личном компьютере специалиста по кадрам?
Хранение базы персональных данных на личном, неподконтрольном работодателю компьютере, как правило, недопустимо, так как не позволяет обеспечить требуемый уровень защиты. Обработка должна осуществляться на защищенных корпоративных ресурсах.
69. Нужно ли шифровать файлы с персональными данными при пересылке по электронной почте?
Да, для исключения риска перехвата информации при передаче по открытым каналам связи файлы, содержащие персональные данные, должны передаваться с использованием средств шифрования или через защищенные файлообменные сервисы.
70. Что делать, если работник использует личный мессенджер для обсуждения рабочих вопросов, содержащих персональные данные?
Использование неподконтрольных работодателю каналов связи для передачи персональных данных должно быть запрещено внутренними регламентами. Сотрудников необходимо обеспечить корпоративными защищенными средствами коммуникации и обучить правилам безопасности.
⬆XII. Права субъектов и порядок их реализации
71. Как работник может реализовать право на доступ к своим персональным данным?
Работник вправе подать работодателю письменное заявление о предоставлении информации об обработке и копий данных. Работодатель обязан предоставить запрошенную информацию в течение 30 дней с момента получения запроса (ст. 14, 20 Федерального закона № 152-ФЗ).
72. Может ли работник запретить обработку своих данных для целей рассылки поздравлений или новостей компании?
Да, если такая обработка не связана напрямую с исполнением трудовых обязанностей и требует согласия субъекта. Работник вправе отозвать ранее данное согласие на обработку данных для непрофильных целей.
73. Обязан ли работодатель отвечать на запросы работника о его данных, если тот находится в отпуске по уходу за ребенком?
Да, лицо, находящееся в отпуске по уходу за ребенком, продолжает состоять в трудовых отношениях и сохраняет все права субъекта персональных данных. Работодатель обязан отвечать на его законные запросы.
74. Как быть, если работник требует уничтожить его персональные данные после увольнения?
Работодатель обязан уничтожить или обезличить данные после достижения целей обработки и истечения установленных сроков хранения. Досрочное уничтожение возможно, если истекли все юридически значимые сроки (например, для налоговых и судебных споров).
75. Что такое право на переносимость данных и применимо ли оно в трудовых отношениях?
Право на переносимость данных (право получить данные в структурированном формате) установлено GDPR (ЕС) и в общем виде в российском законодательстве не закреплено. Однако работник вправе получать копии своих данных, что косвенно реализует эту цель.
⬆XIII. Обработка данных кандидатов на вакансии
76. Распространяется ли Положение на данные соискателей?
Да, Положение должно регулировать обработку персональных данных не только работников, но и кандидатов на замещение вакантных должностей, поскольку они также являются субъектами персональных данных.
77. Нужно ли получать согласие соискателя на обработку его данных?
Для обработки данных, содержащихся в резюме и предоставленных добровольно для цели рассмотрения кандидатуры, согласие не требуется. Однако для получения данных из дополнительных источников (проверка рекомендаций) или для создания базы кандидатов согласие необходимо.
78. Сколько можно хранить данные непринятых соискателей?
Данные следует хранить только в течение срока, необходимого для принятия решения о приеме на работу. Рекомендуется устанавливать конкретный срок хранения таких данных в Положении (например, 1-3 года с момента получения) и уничтожать их по его истечении.
79. Можно ли передавать резюме соискателя руководителям других подразделений без его согласия?
Передача внутри организации для целей рассмотрения кандидатуры на конкретную вакансию является правомерной и не требует дополнительного согласия, так как соответствует исходной цели предоставления данных соискателем.
⬆XIV. Проверки и аудит
80. Кто вправе проводить проверку соблюдения законодательства о персональных данных?
Проверки могут проводить Роскомнадзор (плановые и внеплановые), а также Федеральная служба по труду и занятости (Роструд) в рамках контроля за соблюдением трудового законодательства, включая главу 14 ТК РФ.
81. Что обычно проверяет Роскомнадзор?
Роскомнадзор проверяет: наличие уведомления об обработке данных; правовые основания для обработки; наличие согласий субъектов (где требуется); содержание локальных актов; реализацию мер по защите данных; соответствие целей обработки.
82. Что такое модель угроз и нужна ли она?
Модель угроз безопасности персональных данных – документ, описывающий потенциальные угрозы безопасности данным и используемый для выбора мер защиты. Ее разработка является обязательным требованием для определенных категорий информационных систем, обрабатывающих персональные данные.
83. Рекомендуется ли проводить внутренний аудит системы защиты персональных данных?
Да, регулярный внутренний аудит (силами ответственного сотрудника или приглашенных экспертов) является лучшей практикой и позволяет своевременно выявлять и устранять недостатки в организации обработки и защиты данных.
⬆XV. Специфичные ситуации и отраслевые особенности
84. Как обрабатывать данные работников, если компания является субподрядчиком и передает их заказчику?
Передача данных заказчику возможна только с письменного согласия работника, если такая передача не предусмотрена федеральным законом или трудовым договором. Цели передачи должны быть четко определены.
85. Нужно ли включать в Положение порядок работы с данными иностранных работников?
Да, если в организации работают иностранные граждане, в Положении следует отразить особенности обработки их данных (например, данные паспорта иностранного гражданина, разрешения на работу, патента), учитывая требования миграционного законодательства.
86. Как быть с данными водителей, если в автомобиле установлен тахограф или GPS-трекер?
Обработка данных с тахографов и GPS-трекеров, позволяющих отслеживать местоположение и режим труда водителя, допустима для целей контроля соблюдения законодательства о труде и безопасности дорожного движения. Работники должны быть уведомлены о такой обработке.
87. Применимо ли Положение к стажерам и практикантам?
Да, если с лицом заключен срочный трудовой договор или договор на прохождение практики, его персональные данные обрабатываются в общем порядке, и на него распространяется действие Положения.
⬆XVI. Уничтожение и архивирование данных
88. Как правильно уничтожить бумажные носители с персональными данными?
Уничтожение бумажных носителей должно производиться способом, исключающим возможность восстановления информации: с использованием шредера (установленного класса секретности), сожжением или иным надежным методом. Факт уничтожения рекомендуется оформлять актом.
89. Как уничтожить данные в электронной форме?
Уничтожение электронных данных осуществляется методами необратимого физического разрушения носителя или с использованием специального программного обеспечения для гарантированного стирания информации, не оставляющего возможности для восстановления.
90. Можно ли хранить отсканированные копии документов сотрудников бессрочно?
Нет, срок хранения электронных образов документов определяется в соответствии с законодательством об архивном деле и Перечнем типовых управленческих архивных документов. По истечении срока они подлежат уничтожению.
⬆XVII. Взаимодействие с третьими лицами и провайдерами
91. Нужно ли заключать отдельный договор с IT-провайдером, который обслуживает серверы с данными сотрудников?
Да, если провайдер получает доступ к персональным данным для оказания услуг, с ним должен быть заключен договор, в котором он обязуется соблюдать конфиденциальность и обеспечивать безопасность данных в соответствии с требованиями закона (ст. 6 Федерального закона № 152-ФЗ).
92. Что такое поручение оператора и когда оно применяется?
Поручение оператора – это договор, по которому оператор (работодатель) поручает другому лицу обработку данных от своего имени. В этом случае ответственность перед субъектом данных по-прежнему несет оператор, выдавший поручение.
93. Можно ли передавать данные на аутсорсинг в call-центр для обзвона сотрудников?
Да, но такая передача возможна только с согласия работников, если обзвон не связан непосредственно с трудовыми функциями. Оператор call-центра становится самостоятельным оператором или обрабатывает данные по поручению, что требует юридического оформления.
⬆XVIII. Регистрация и журналирование действий
94. Нужно ли вести журнал учета обработки персональных данных?
Ведение журнала, фиксирующего факты обработки, доступов и запросов, не является строго обязательным по закону, но является рекомендуемой мерой для внутреннего контроля, аудита и предоставления доказательств в случае проверок.
95. Какие действия с данными следует фиксировать в журнале?
Целесообразно фиксировать: предоставление доступа новым сотрудникам, факты копирования, передачи данных третьим лицам, обращения субъектов с запросами, факты утечек и предпринятые меры, уничтожение носителей.
⬆XIX. Обучение и инструктаж сотрудников
96. Нужно ли проводить обучение сотрудников, работающих с персональными данными?
Да, работодатель обязан проводить разъяснительную работу среди своих работников о положениях законодательства о персональных данных, а также о локальных актах и последствиях их нарушения.
97. Как часто нужно проводить такой инструктаж?
Первичный инструктаж проводится при приеме на работу. Периодический – не реже одного раза в год или при существенных изменениях в законодательстве или локальных актах. Факт проведения инструктажа следует фиксировать.
⬆XX. Иные организационные вопросы
98. Можно ли ограничить доступ работника к своим данным, если он находится под следствием?
Нет, статус работника как субъекта данных не меняется. Ограничение его прав возможно только на основании судебного решения или в случаях, прямо предусмотренных федеральным законом.
99. Что важнее: трудовое законодательство или Федеральный закон № 152-ФЗ?
Оба закона действуют в единстве. Глава 14 ТК РФ является специальной нормой для трудовых отношений в рамках общего регулирования Федерального закона № 152-ФЗ. При возникновении коллизий приоритет должен определяться исходя из принципов законодательства.
100. Где можно получить типовую форму Положения?
Типовых форм, утвержденных на федеральном уровне, не существует. Роскомнадзор публикует лишь рекомендации по содержанию. Работодатель разрабатывает Положение самостоятельно или с привлечением юристов, учитывая специфику своей деятельности.
⬆