Вы на портале
Персональные данные

Персональные данные в трудовых отношениях: алгоритм действий нанимателя

Законодательство, регулирующее работу с персональными данными, постоянно совершенствуется. В последнее время принят ряд законодательных актов в данной сфере. В настоящей статье рассмотрим отдельные вопросы организации работы с персональными данными с учетом последних изменений.

Самосейко Владимир
Самосейко Владимир

Юрист, магистр права

7106 Shape 1 copy 6Created with Avocode.

С 30 июня 2021 г. вступил в силу Закон Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений» (далее — Закон № 114-З), которым внесены изменения в ТК и установлена дисциплинарная ответственность за противоправные действия с персональными данными. 

В частности, ст. 47 ТК дополнена таким новым основанием увольнения, как нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных*.

* Более подробно об алгоритме увольнения в соответствии с п. 10 ч. 1 ст. 47 ТК см.: Самосейко В. Нарушение работником законодательства о защите персональных данных: алгоритм увольнения // Юрист. — 2021. — № 9.

Определение понятия «персональные данные», а также основополагающие принципы работы с ними определены в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З), который вступает в силу с 15.11.2021.

Справочно.
Согласно ст. 1 Закона № 99-З персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Перечень персональных данных

Перечень информации, которая может быть отнесена к персональной, является открытым. В Законе № 99-З он четко не определен. Поэтому решать, относятся ли те или иные сведения к персональным данным конкретного лица, необходимо индивидуально. 

Наниматели (юридические лица Республики Беларусь, индивидуальные предприниматели, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных) обрабатывают данные как своих работников, так и других лиц. Когда их фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование становятся персональными, зависит от ситуации. 

Приведем примерный перечень информации, которая может быть отнесена к персональным данным:

По общему правилу, установленному ст. 6 и 8 Закона № 99-З, необходим предварительный запрос согласия субъекта персональных данных на обработку его персональных данных. При этом Закон № 99-З содержит и исключения из данного правила.

Справочно.
Субъект персональных данных — физическое лицо, в том числе работник, в отношении которого осуществляется любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (ст. 1 Закона № 99-З).

Можно выделить как минимум следующие цели использования нанимателем персональных данных работников:

— при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

— для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

— в целях назначения и выплаты пенсий, пособий и др.

Кроме того, после заключения трудового договора информация о работнике может использоваться нанимателем для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из других отраслей законодательства (например, для удержания из зарплаты денежных средств в рамках исполнительного производства).

Согласно ст. 17 Закона № 99-З наниматель обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных:

— от несанкционированного или случайного доступа к ним;

— изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных;

— иных неправомерных действий в отношении персональных данных.

Обязательными мерами по обеспечению защиты персональных данных, в частности, являются:

— назначение нанимателем структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

— издание нанимателем документов, определяющих политику в отношении обработки персональных данных;

— ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику нанимателя в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

Справочно.
Обязанности работников в области защиты персональных данных должны быть предусмотрены условиями трудового договора и (или) должностной инструкцией.

— установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе). 

Примерный алгоритм действий нанимателя по организации работы с персональными данными приведен ниже.


Примерный алгоритм организации работы с персональными данными

Шаг 1. Установление перечня персональных данных, которые обрабатываются в организации

Для того, чтобы определить ответственных лиц, а также то, в каких случаях нужно запрашивать согласие на обработку персональных данных, вначале следует определить, какие персональные данные обрабатываются этим оператором.

Справочно.
Оператор — государственный орган, юридическое лицо Рес-публики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

Для этого собираются сведения о том, какая информация обрабатывается оператором, затем оценивается, относится ли она к персональным данным, а после установленные персональные данные подразделяются по целям их обработки.

Шаг 2. Установление лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также перечня лиц, имеющих допуск к обработке персональных данных

Одним из обязательных, минимальных требований оператора в силу ст. 17 Закона № 99-З является назначение ответственных лиц. Так, выделяют лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, допущенных к обработке персональных данных.

Шаг 3. Внесение дополнений в трудовые договоры и должностные инструкции лиц, допущенных к обработке персональных данных

Согласно ст. 20 ТК наниматель не вправе требовать от работника выполнения работы, не обусловленной трудовым договором, за исключением случаев, предусмотренных законодательными актами.

Иными словами, дополнительные обязанности в области защиты персональных данных должны быть предусмотрены условиями трудового договора и (или) должностной инструкции.

Шаг 4. Разработка и утверждение локальных правовых актов и иных документов по защите персональных данных 

В соответствии со ст. 17 Закона № 99-З оператор должен разработать и утвердить как минимум политику оператора (уполномоченного лица) в отношении обработки персональных данных. 

На самом деле перечень значительно шире, и на практике разрабатывают и иные ЛПА.

Шаг 5. Обеспечение условий для физической защиты персональных данных (место хранения, допуск и т.п.) и их обработки 

В данном случае оператор должен предпринять технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Шаг 6. Обучение работников, имеющих допуск к обработке персональных данных, согласно законодательству, в том числе ознакомление их с нормативными правовыми и локальными правовыми актами в сфере защиты персональных данных

С учетом ст. 17 Закона № 99-З оператор обязан не только провести ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, но также провести обучение указанных работников и иных лиц в порядке, установленном законодательством. 

7106 Shape 1 copy 6Created with Avocode.
Последнее
по теме