Принимая человека в штат, работодатель берет на себя ответственность по защите его личной информации. Но для того, чтобы понять, как организовать процесс обработки, какие методы использовать для обеспечения безопасности и т.д., нужно четко определить, какие сведения относятся к ПДн. Тут не все так легко, как кажется, например, некоторые предприниматели и руководители не понимают, является ли заработная плата персональными данными, что входит в это понятие, и нужно ли засекречивать размер вознаграждения. Разъясним основные моменты по данному вопросу.
Относится ли размер зарплаты к персональным данным работника?
В Трудовом Кодексе прописано, что под зарплатой понимается не только установленный конкретному работнику оклад либо тарифная ставка, но и величина премий, доплат и надбавок, то есть всех стимулирующих и компенсационных выплат. Перечисленные суммы указываются в договоре, нарушать условия которого не стоит, ведь сотрудник может обратиться в проверяющие органы или подать в суд.
Зарплата — персональные данные, об этом четко сообщает Роскомнадзор в своем Письме № 08КМ-3681от 7 февраля 2014 года. К ПДн также относятся:
- ФИО и прочие сведения, позволяющие определить личность гражданина (в том числе при помощи инновационных устройств и софта);
- наличие/отсутствие судимостей;
- опыт работы на выборных должностях;
- воинское звание и другие факты, связанные с армейской службой;
- прошлые места работы;
- опыт трудоустройства в государственных структурах.
Когда встает вопрос о передаче ПДн третьим лицам, оператор обязан получить дополнительное согласие субъекта в письменной форме, предварительно предупредив о целях, сроках и других деталях обработки.
Можно ли считать заработную плату коммерческой тайной?
С тем, относится ли заработная плата к персональным данным, мы разобрались, но также часто у операторов возникают вопросы по поводу того, имеет ли сотрудник право разглашать, сколько денег получает. Чтобы найти ответ, давайте сначала проанализируем, что собой представляет коммерческая тайна. По определению регулятора это любые сведения, представляющие определенную ценность до момента разглашения третьим лицам. Есть важное условие — доступ к данным должен быть ограничен. Однако установление режима конфиденциальности в отношении заработной платы не всегда правомерно. Тут речь не идет о схемах, планах, торговых секретах, спецификациях и других сведениях, которые однозначно должны быть исключены из категории общедоступных.
Как бы ни хотелось работодателям, но для работников размер зарплаты не является коммерческой тайной. Соответственно, фирма не имеет права запретить человеку распространяться о том, какую сумму в неделю, месяц или год он получает. Но есть ограничения по сообщению величины вознаграждения в отношении главного бухгалтера и всех сотрудников, которые располагают доступом к этой информации. За несанкционированное разглашение им грозит как минимум выговор и увольнение, а как максимум — наказание по КоАП или уголовная ответственность.
Рекомендации работодателям, как избежать штрафных санкций
Поскольку заработная плата — это персональные данные, руководству фирмы или ИП необходимо приложить немалые усилия, чтобы обезопасить подобную информацию также, как и другие виды ПДн. Если не продумать этот момент до приема сотрудников на работу, то в будущем могут возникнуть конфликты не только с субъектами, но и с Роскомнадзором, результатом чего станет необходимость уплаты штрафа. Не быть нарушителем и поддерживать репутацию серьезной компании, которая заботится о конфиденциальности личных сведений, удастся, если:
- Четко разобраться, когда и на каких условиях можно передавать идентифицирующие данные третьим лицам.
Нарушением является сообщение размера заработной платы и прочих персональных данных гражданам, должностным лицам и организациям, не имеющим права доступа к ним. К примеру, нельзя сообщать, сколько работник зарабатывает, если запрос делает жена, дочь, муж или другой родственник. Сведения могут передаваться представителям правоохранительных и судебных органов, инспекторам труда. - Серьезно отнестись к выбору того, кто будет нести индивидуальную ответственность за обработку и защиту ПДн на предприятии.
- Установить дисциплинарные наказания за совершение нарушений и постоянно контролировать, как происходит сбор, хранение, уничтожение и другие операции с персональными данными.
- Разработать полный пакет локальной документации, регулирующей все аспекты обработки конфиденциальных сведений.
- Не забывать отслеживать законодательные нововведения и регулярно проходить внешний и внутренний аудит.
- Во всех предусмотренных законом ситуациях запрашивать у субъекта согласие на использование личной информации, сообщать ему о сроках, целях и других аспектах работы с ПДн.
- Своевременно реагировать на заявления от субъектов, в частности, уничтожать секретные сведения при их неправомерном получении, неточности или неактуальности.
- Сразу после достижения целей обработки ликвидировать информацию на бумажных и электронных носителях.