Защита персональных данных: какие сведения не вправе разглашать бухгалтер
Автор: электронный журнал «Зарплата»
Персональные данные
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).
К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).
Круг сведений о заработной плате
Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).
Доступ к персональным данным
Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).
В каких случаях персональные данные можно сообщить третьему лицу
Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).
В каких случаях персональные данные нельзя передать третьему лицу
В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.
Так, нельзя передавать данные о работнике, если:
— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;
— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.
Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.
Защита персональных данных и ответственность за их разглашение
В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).
Дисциплинарная ответственность
Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).
Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:
— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;
— они стали известны работнику в связи с исполнением им трудовых обязанностей;
— уволенный работник дал обязательство не разглашать такие сведения.
Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.
Административная ответственность
За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.
Как корректно отказать в предоставлении сведений
В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).
В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.
Запрос в письменной форме
В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.
Письменное согласие работника
В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).
Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.
Уведомление об отказе
В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.
В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.
Персональные данные сотрудника: как с ними работать
Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.
Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Сотрудник сменил фамилию — что делать с трудовым договором?
В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.
Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Каким должно быть согласие на обработку персональных данных
Роскомнадзор в своих рекомендациях формулирует следующие требования:
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.
В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Кадровый и бухгалтерский учет на аутсорсе и персональные данные
Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Как защитить персональные данные от работодателя
Чтобы их никому не передали
В прошлых статьях я рассказала, как проверить потенциального работодателя до собеседования и во время собеседования, чтобы убедиться, что не будет проблем с зарплатой. Но это не вся проверка.
Работник имеет право на защиту своих персональных данных, а недобросовестный работодатель может обращаться с ними халатно: разглашать, терять и передавать в корыстных целях. Если персональные данные не защищены, работник может поплатиться репутацией и даже лишиться денег.
Поэтому нужно проверить, как потенциальный работодатель поступает с персональными данными. Давайте разберемся, как выбрать такого работодателя, который будет защищать ваши данные.
Зачем переживать о персданных на работе
Каждый работодатель — оператор персональных данных работников. Он обязан обрабатывать их в соответствии с законом: утверждать специальные локальные акты, устанавливать порядок допуска к ним и всячески защищать.
Плохо, если в компании нет специального человека, который организует обработку персданных, нет локального акта по обработке персданных и регламента допуска к ним. Когда ответственных нет и порядок работы четко не определен, высока вероятность, что персданные пойдут по рукам.
Если у работников не спрашивают согласия на обработку персданных и на работе, например, нет сейфов для трудовых книжек и шкафов на замке для кадровых документов — это тоже тревожный знак.
Все это может повлечь для работника разные негативные последствия: от дискомфорта, когда коллеги узнали что-то, что он не хотел рассказывать, до рисков, что персданные будут использовать мошенники в преступных целях.
Халатное обращение с персональными данными бьет по самоуважению и кошельку
Серафиме Ивановне устроили сюрприз: вывесили на входе в офис огромный поздравительный плакат с фото, ФИО и полной датой рождения. Теперь все знают ее настоящий возраст.
Геннадий подал в бухгалтерию заявление на матпомощь к свадьбе сына. Главбух вывесила копию заявления на стенд как образец. Теперь коллеги знают, что у Геннадия плохо с деньгами.
Предприимчивый рекрутер Ольга Петровна выгодно продала контакты работников. Теперь им названивают, чтобы продать то ли форекс, то ли увеличитель члена (говорят неразборчиво).
Секретарь Снежана покупала билеты для командировок: на ее столе лежали копии паспортов вперемешку с гламурными журналами. Проходимость в приемной была высокая, а внимательность Снежаны низкая. Поэтому копии втихаря прибрал к рукам непорядочный гость и оформил по ним кредиты.
То, как организации работают с персданными, контролирует Роскомнадзор. Работодатели уведомляют его об обработке данных, после чего их вносят в специальный реестр.
По закону работодатель может не уведомлять Роскомнадзор об обработке данных исключительно в рамках трудового законодательства и силами самой компании. Но таких работодателей крайне мало, поэтому в большинстве случаев компания все-таки должна отправлять уведомление.
Выявить нарушения правил обработки персданных могут и другие органы.
Например, прокуратура или трудовая инспекция могут выяснить, что в компании нет обязательного локального акта, который устанавливает порядок обработки персданных. Это нарушение закона.
Еще компании должны утверждать политику обработки персональных данных. Она касается не только работников, но и клиентов и контрагентов компании. По закону фирмы обязаны опубликовать такую политику или как-то иначе предоставить доступ к ней. Если у компании есть официальный сайт — политику обычно размещают там. Поэтому информацию о политике обработки персданных вы можете посмотреть на сайте потенциального работодателя.
Если работодатель злостно нарушает законодательство о персданных и работник уличил его в этом, дело может дойти до суда. Иногда после таких разбирательств справедливость восстанавливается: работнику возмещают моральный ущерб, а компания начинает соблюдать закон. Тогда потенциальным работникам уже нечего бояться. В противном случае существует риск, что с персданными новичка могут обращаться столь же небрежно и неаккуратно, как и с данными работника-истца.
Чтобы узнать это, следует посмотреть судебную практику по спорам потенциального работодателя, которые связаны с персданными. Нужно проверить, на что жаловались работники, отличаются ли текущие жалобы от прошлых. Еще стоит почитать отзывы работников о компании на специальных сайтах или пообщаться с ними лично.
Плохо, если у компании много трудовых споров по персональным данным: жалобы на незаконную обработку и передачу третьим лицам, утерю и разглашение.
Проверить прошедшие и текущие споры можно на сайте «Судебные и нормативные акты РФ », на сайтах с отзывами работников и «черными списками» работодателей в интернете. Такую информацию можно также поискать на сайте Роструда в разделе «События в регионах» по тегу «проверки» и на сайтах местных трудинспекций. Для проверки достаточно знать наименование и адрес компании — потенциального работодателя.
Например, в одном деле работодатель захотел провести почерковедческую экспертизу и передал заявления работника в экспертную организацию без его согласия. В итоге суд признал это нарушением и обязал компанию выплатить работнику компенсацию морального вреда.
В другом судебном споре работодатель допустил разглашение персональных данных работника: на стороннем сайте появилась статья, к которой было приложено дополнительное соглашение к трудовому договору истца. Доступ к статье получил неограниченный круг лиц. Суд обязал работодателя возместить работнику моральный вред.
В большинстве случаев на собеседовании с вас должны взять согласие на обработку персданных. Без него действия работодателя будут незаконны. Ответственный работодатель позаботится об этом заранее и предоставит бланк согласия без ваших напоминаний. Это уже показатель, что компания в какой-то мере соблюдает закон.
Когда требуется такое согласие. Потенциальный работодатель должен получить согласие на обработку персональных данных на период, когда он будет решать, брать ли соискателя на работу.
Но если вы размещали резюме в свободном доступе в интернете или от вашего имени действует кадровое агентство — согласие на обработку не требуется.
Какие персданные не имеют права узнавать. По общему правилу это данные, которые составляют личную или семейную тайну. Например, на вопросы потенциального работодателя о вероисповедании, интимной жизни, политических взглядах, быте и жилищных условиях можно не отвечать.
Но есть должности, при приеме на которые нужно предоставить более полную информацию о себе. Например, при приеме на госслужбу могут запросить данные о семье или поездках за границу.
Как заполнять согласие. Согласие нужно заполнять самому. Если потенциальный работодатель предложит для быстроты заполнить согласие за вас, не соглашайтесь.
Если вам дают на заполнение анкету, она должна соответствовать типовой форме, в том числе содержать поле для отметки о согласии на обработку персданных и информацию о сроке ее рассмотрения.
Что будет с персданными, если на работу не приняли. Потенциальный работодатель должен уничтожить персональные данные соискателей, которых не приняли на работу, в течение 30 дней. Если речь о госслужбе — персональные данные хранятся 3 года.
Непорядочный работодатель может оставить ваши данные в корыстных целях.
Допустим, на собеседовании вы разрешили снять копии с паспорта, диплома и всех страниц трудовой книжки. На работу вас в итоге не приняли, а данные решили применить с пользой для себя: пополнить вами список мертвых душ для важного тендера.
Компания подделывает вашу трудовую книжку: делает запись о приеме на работу в копии, снимает копию еще раз — и заверяет. После подделывает штатную расстановку, добавляет копию паспорта и диплома и вместе с пакетом других документов направляет в тендерную комиссию. Если проверяющие не слишком дотошны, компания имеет шансы выиграть тендер. Она обманет заказчика с реальным количеством персонала и получит деньги благодаря вашим бесплатным данным.
Что делать, если вас не приняли на работу. Для подстраховки лучше написать отзыв согласия на обработку персональных данных. Отзыв нужно направить на юридический адрес компании ценным письмом с описью вложения и уведомлением о вручении. Отзыв можно подать и лично с отметкой о принятии.
Отзыв согласия на обработку персданных не гарантирует, что их прекратят обрабатывать. Даже при наличии отзыва недобросовестные компании могут оставить их у себя. Вряд ли вы сможете об этом узнать.
Отзыв согласия на обработку персональных данных соискателя
Форма отзыва. Унифицированной формы нет, пишите в произвольной форме.
Запрос официального ответа. Подчеркните, что ждете от потенциального работодателя письмо, которое подтвердит окончание обработки данных.
Дата подачи отзыва. Отзыв можно подать в любое время.
Итак, вы проверили потенциального работодателя в реестре Роскомнадзора, изучили его отношения с работниками и подписали согласие на обработку пересданных. Но это не вся проверка.
Чтобы уточнить, как в компании работают с персональными данными, на собеседовании задайте потенциальному работодателю эти 4 вопроса.
До начала обработки персональных данных потенциальный работодатель в общем случае обязан уведомить Роскомнадзор. Порядочные компании знают об этом и о том, что с 1 июля 2017 года законодательство в области персданных ужесточилось.
👎 Не слышали о Роскомнадзоре
— Не нашла вашу компанию в реестре Роскомнадзора. А как вы работаете с персональными данными соискателей и работников?
— Реестр Роскомнадзора? А что это? Нас трудинспекция проверяла, ошибок не нашла. Этого разве недостаточно?
В компании должен быть сотрудник, который занимается организацией обработки персональных данных. Обычно это начальник отдела кадров или заместитель директора. Без организатора обработки персданных наступит хаос.
👎 Ответственного нет
— У вас есть сотрудник, ответственный за организацию обработки персональных данных?
— Нет. А зачем? У нас многие работают с персональными данными, назначить кого-то одного не получится.
У каждой компании должен быть локальный акт об обработке персональных данных. Он должен содержать мероприятия по их защите. Еще работодатель должен закрепить список сотрудников, которые работают с персональными данными, и тех, кто имеет к ним доступ.
Окиньте взглядом офис. Посмотрите, не лежат ли в свободном доступе бесхозные документы: трудовые книжки, личные дела, копии паспортов. Если вы заметили это, есть риск, что после трудоустройства с вашими документами могут обращаться так же безответственно.
👎 Доступ к персданным имеют все
— А кто у вас обрабатывает персональные данные, кто имеет доступ к ним? Только кадровики или кто-то еще? Порядок доступа закреплен в локальном акте?
— Кому нужно, тот и спрашивает. Если кому-то требуется копия диплома работника — приходит и получает. Все быстро, никаких локальных актов не надо.
Потенциальный работодатель должен разработать систему защиты персональных данных. Это могут быть технические или организационные меры: собственный защищенный сервер, запираемые шкафы и сейфы, охрана офиса. Если таких мер в компании нет — персданные могут потерять и украсть.
👎 Персданные никак не защищены
— Вы — филиал, а кадровый учет ведет головной офис? Как вы пересылаете туда копии документов сотрудников, по почте? Данные не может кто-нибудь перехватить? Сейчас много хакеров. Или у вас защищенный канал?
— Почтой России пересылаем, и никто еще не жаловался! У нас даже трудовые книжки хранятся так, без сейфа. Кто их украдет? Все свои.
