Защита персональных данных работника

Организация защиты персональных данных работников

Больше материалов по теме «Сотрудники» вы можете получить в системе КонсультантПлюс .

  1. Персональные данные: законодательное определение
  2. Насколько необходимо Положение о персональных данных
  3. Что значит обрабатывать персональные данные
  4. Как передаются персональные данные

Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.

Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.

Персональные данные: законодательное определение

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Порядок действий с этой информацией определен в таких законодательных документах, как:

  • Конституция Российской Федерации;
  • ст. 85 Трудового кодекса РФ;
  • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  • Указ Президента России от 06.03.1977 г. № 188.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

  • ФИО физического лица;
  • дата рождения;
  • место проживания и/или прописки;
  • полученное человеком образование;
  • состав семьи;
  • социальный статус;
  • сведения, касающиеся владения имуществом;
  • ранее занимаемые им должности;
  • уровень получаемых доходов и их источники;
  • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

Персональные данные сотрудника: как с ними работать

Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Читайте также:
Выплаты по профзаболеванию: какие положены

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Читайте также:
Нет и гросс зарплата: что это такое

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Читайте также:
Управляющий ИП в ООО как директор

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Читайте также:
Заявление об увольнении без даты увольнения, с открытой датой

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 09.02.2021

Получайте новости и обновления Эльбы

Подписываясь на рассылку, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур

Новое о персональных данных

Автор: Давыдова Е. В., эксперт информационно-справочной системы «Аюдар Инфо»

С 1 марта 2021 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Читайте также:
Тарифная ставка — что это такое, чем отличается от оклада, как рассчитывается

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;

или в срок, указанный в постановлении суда;

или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Ректору
ФГБОУ ПО «Самарский государственный университет»
Владимирову Владимиру Владимировичу,
адрес местонахождения 123456, Самара, ул. Самарская, д. 1
ОГРН: 1234567890123 ИНН: 1234567890
ОКВЭД: 12.34 ОКПО: 12345678
ОКОГУ: 1234567 ОКОПФ: 12300 ОКФС: 12

От Иванова Ивана Ивановича,
паспорт серии 12 34 № 123456 выдан 12 января 2000 года
ОВД Самарского района г. Самары,
зарегистрированного по адресу 123456, Самара,
ул. Ленина, д. 1, кв. 23.
Адрес электронной почты:
ivanov@yandex.ru
Номер телефона:
+7 (123) 456-78-90

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Настоящим я, Иванов Иван Иванович, руководствуясь статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», заявляю о согласии на распространение ФГБОУ ПО «Самарский государственный университет» моих персональных данных с целью размещения информации обо мне на официальном сайте ФГБОУ ПО «Самарский государственный университет» в следующем порядке:

Категория персональных данных

Перечень персональных данных

Разрешаю к распространению (да/нет)

Разрешаю к распространению не-ограниченному кругу лиц (да/нет)

Как защитить персональные данные от работодателя

Чтобы их никому не передали

В прошлых статьях я рассказала, как проверить потенциального работодателя до собеседования и во время собеседования, чтобы убедиться, что не будет проблем с зарплатой. Но это не вся проверка.

Работник имеет право на защиту своих персональных данных, а недобросовестный работодатель может обращаться с ними халатно: разглашать, терять и передавать в корыстных целях. Если персональные данные не защищены, работник может поплатиться репутацией и даже лишиться денег.

Поэтому нужно проверить, как потенциальный работодатель поступает с персональными данными. Давайте разберемся, как выбрать такого работодателя, который будет защищать ваши данные.

Зачем переживать о персданных на работе

Каждый работодатель — оператор персональных данных работников. Он обязан обрабатывать их в соответствии с законом: утверждать специальные локальные акты, устанавливать порядок допуска к ним и всячески защищать.

Плохо, если в компании нет специального человека, который организует обработку персданных, нет локального акта по обработке персданных и регламента допуска к ним. Когда ответственных нет и порядок работы четко не определен, высока вероятность, что персданные пойдут по рукам.

Если у работников не спрашивают согласия на обработку персданных и на работе, например, нет сейфов для трудовых книжек и шкафов на замке для кадровых документов — это тоже тревожный знак.

Все это может повлечь для работника разные негативные последствия: от дискомфорта, когда коллеги узнали что-то, что он не хотел рассказывать, до рисков, что персданные будут использовать мошенники в преступных целях.

Халатное обращение с персональными данными бьет по самоуважению и кошельку

Серафиме Ивановне устроили сюрприз: вывесили на входе в офис огромный поздравительный плакат с фото, ФИО и полной датой рождения. Теперь все знают ее настоящий возраст.

Геннадий подал в бухгалтерию заявление на матпомощь к свадьбе сына. Главбух вывесила копию заявления на стенд как образец. Теперь коллеги знают, что у Геннадия плохо с деньгами.

Предприимчивый рекрутер Ольга Петровна выгодно продала контакты работников. Теперь им названивают, чтобы продать то ли форекс, то ли увеличитель члена (говорят неразборчиво).

Секретарь Снежана покупала билеты для командировок: на ее столе лежали копии паспортов вперемешку с гламурными журналами. Проходимость в приемной была высокая, а внимательность Снежаны низкая. Поэтому копии втихаря прибрал к рукам непорядочный гость и оформил по ним кредиты.

То, как организации работают с персданными, контролирует Роскомнадзор. Работодатели уведомляют его об обработке данных, после чего их вносят в специальный реестр.

По закону работодатель может не уведомлять Роскомнадзор об обработке данных исключительно в рамках трудового законодательства и силами самой компании. Но таких работодателей крайне мало, поэтому в большинстве случаев компания все-таки должна отправлять уведомление.

Например, уведомлять Роскомнадзор необходимо, если работодатель передает персональные данные работников в аутсорсинговую компанию, которая ведет кадровый и бухучет, или в страховую компанию для оформления полисов ДМС . Если компания заказывает работникам визитки — это тоже обработка данных и Роскомнадзор надо уведомить.

Если компания — потенциальный работодатель входит в Реестр операторов персональных данных Роскомнадзора, посмотрите, какие она выполняет меры по обработке и защите персональных данных. Обычно меры расписывают подробно. Для поиска в реестре нужно знать наименование фирмы, для уточнения — ее ИНН .

Если Роскомнадзор проверял компанию, посмотрите результаты проверок на сайте Роскомнадзора или его местных подразделений: были ли нарушения и если да, то какие. Для поиска достаточно знать наименование компании, для уточнения — ИНН , ОГРН и адрес.

Выявить нарушения правил обработки персданных могут и другие органы.

Например, прокуратура или трудовая инспекция могут выяснить, что в компании нет обязательного локального акта, который устанавливает порядок обработки персданных. Это нарушение закона.

Еще компании должны утверждать политику обработки персональных данных. Она касается не только работников, но и клиентов и контрагентов компании. По закону фирмы обязаны опубликовать такую политику или как-то иначе предоставить доступ к ней. Если у компании есть официальный сайт — политику обычно размещают там. Поэтому информацию о политике обработки персданных вы можете посмотреть на сайте потенциального работодателя.

Если работодатель злостно нарушает законодательство о персданных и работник уличил его в этом, дело может дойти до суда. Иногда после таких разбирательств справедливость восстанавливается: работнику возмещают моральный ущерб, а компания начинает соблюдать закон. Тогда потенциальным работникам уже нечего бояться. В противном случае существует риск, что с персданными новичка могут обращаться столь же небрежно и неаккуратно, как и с данными работника-истца.

Читайте также:
Трехсторонняя комиссия по регулированию социально-трудовых отношений

Чтобы узнать это, следует посмотреть судебную практику по спорам потенциального работодателя, которые связаны с персданными. Нужно проверить, на что жаловались работники, отличаются ли текущие жалобы от прошлых. Еще стоит почитать отзывы работников о компании на специальных сайтах или пообщаться с ними лично.

Плохо, если у компании много трудовых споров по персональным данным: жалобы на незаконную обработку и передачу третьим лицам, утерю и разглашение.

Проверить прошедшие и текущие споры можно на сайте «Судебные и нормативные акты РФ », на сайтах с отзывами работников и «черными списками» работодателей в интернете. Такую информацию можно также поискать на сайте Роструда в разделе «События в регионах» по тегу «проверки» и на сайтах местных трудинспекций. Для проверки достаточно знать наименование и адрес компании — потенциального работодателя.

Например, в одном деле работодатель захотел провести почерковедческую экспертизу и передал заявления работника в экспертную организацию без его согласия. В итоге суд признал это нарушением и обязал компанию выплатить работнику компенсацию морального вреда.

В другом судебном споре работодатель допустил разглашение персональных данных работника: на стороннем сайте появилась статья, к которой было приложено дополнительное соглашение к трудовому договору истца. Доступ к статье получил неограниченный круг лиц. Суд обязал работодателя возместить работнику моральный вред.

В большинстве случаев на собеседовании с вас должны взять согласие на обработку персданных. Без него действия работодателя будут незаконны. Ответственный работодатель позаботится об этом заранее и предоставит бланк согласия без ваших напоминаний. Это уже показатель, что компания в какой-то мере соблюдает закон.

Когда требуется такое согласие. Потенциальный работодатель должен получить согласие на обработку персональных данных на период, когда он будет решать, брать ли соискателя на работу.

Но если вы размещали резюме в свободном доступе в интернете или от вашего имени действует кадровое агентство — согласие на обработку не требуется.

Какие персданные не имеют права узнавать. По общему правилу это данные, которые составляют личную или семейную тайну. Например, на вопросы потенциального работодателя о вероисповедании, интимной жизни, политических взглядах, быте и жилищных условиях можно не отвечать.

Но есть должности, при приеме на которые нужно предоставить более полную информацию о себе. Например, при приеме на госслужбу могут запросить данные о семье или поездках за границу.

Как заполнять согласие. Согласие нужно заполнять самому. Если потенциальный работодатель предложит для быстроты заполнить согласие за вас, не соглашайтесь.

Если вам дают на заполнение анкету, она должна соответствовать типовой форме, в том числе содержать поле для отметки о согласии на обработку персданных и информацию о сроке ее рассмотрения.

Что будет с персданными, если на работу не приняли. Потенциальный работодатель должен уничтожить персональные данные соискателей, которых не приняли на работу, в течение 30 дней. Если речь о госслужбе — персональные данные хранятся 3 года.

Непорядочный работодатель может оставить ваши данные в корыстных целях.

Допустим, на собеседовании вы разрешили снять копии с паспорта, диплома и всех страниц трудовой книжки. На работу вас в итоге не приняли, а данные решили применить с пользой для себя: пополнить вами список мертвых душ для важного тендера.

Компания подделывает вашу трудовую книжку: делает запись о приеме на работу в копии, снимает копию еще раз — и заверяет. После подделывает штатную расстановку, добавляет копию паспорта и диплома и вместе с пакетом других документов направляет в тендерную комиссию. Если проверяющие не слишком дотошны, компания имеет шансы выиграть тендер. Она обманет заказчика с реальным количеством персонала и получит деньги благодаря вашим бесплатным данным.

Что делать, если вас не приняли на работу. Для подстраховки лучше написать отзыв согласия на обработку персональных данных. Отзыв нужно направить на юридический адрес компании ценным письмом с описью вложения и уведомлением о вручении. Отзыв можно подать и лично с отметкой о принятии.

Отзыв согласия на обработку персданных не гарантирует, что их прекратят обрабатывать. Даже при наличии отзыва недобросовестные компании могут оставить их у себя. Вряд ли вы сможете об этом узнать.

Отзыв согласия на обработку персональных данных соискателя

Форма отзыва. Унифицированной формы нет, пишите в произвольной форме.

Запрос официального ответа. Подчеркните, что ждете от потенциального работодателя письмо, которое подтвердит окончание обработки данных.

Дата подачи отзыва. Отзыв можно подать в любое время.

Итак, вы проверили потенциального работодателя в реестре Роскомнадзора, изучили его отношения с работниками и подписали согласие на обработку пересданных. Но это не вся проверка.

Чтобы уточнить, как в компании работают с персональными данными, на собеседовании задайте потенциальному работодателю эти 4 вопроса.

До начала обработки персональных данных потенциальный работодатель в общем случае обязан уведомить Роскомнадзор. Порядочные компании знают об этом и о том, что с 1 июля 2017 года законодательство в области персданных ужесточилось.

👎 Не слышали о Роскомнадзоре

— Не нашла вашу компанию в реестре Роскомнадзора. А как вы работаете с персональными данными соискателей и работников?
— Реестр Роскомнадзора? А что это? Нас трудинспекция проверяла, ошибок не нашла. Этого разве недостаточно?

В компании должен быть сотрудник, который занимается организацией обработки персональных данных. Обычно это начальник отдела кадров или заместитель директора. Без организатора обработки персданных наступит хаос.

👎 Ответственного нет

— У вас есть сотрудник, ответственный за организацию обработки персональных данных?
— Нет. А зачем? У нас многие работают с персональными данными, назначить кого-то одного не получится.

У каждой компании должен быть локальный акт об обработке персональных данных. Он должен содержать мероприятия по их защите. Еще работодатель должен закрепить список сотрудников, которые работают с персональными данными, и тех, кто имеет к ним доступ.

Окиньте взглядом офис. Посмотрите, не лежат ли в свободном доступе бесхозные документы: трудовые книжки, личные дела, копии паспортов. Если вы заметили это, есть риск, что после трудоустройства с вашими документами могут обращаться так же безответственно.

Доступ к персданным имеют все

— А кто у вас обрабатывает персональные данные, кто имеет доступ к ним? Только кадровики или кто-то еще? Порядок доступа закреплен в локальном акте?
— Кому нужно, тот и спрашивает. Если кому-то требуется копия диплома работника — приходит и получает. Все быстро, никаких локальных актов не надо.

Читайте также:
ТОП-20 ошибок при составлении резюме

Потенциальный работодатель должен разработать систему защиты персональных данных. Это могут быть технические или организационные меры: собственный защищенный сервер, запираемые шкафы и сейфы, охрана офиса. Если таких мер в компании нет — персданные могут потерять и украсть.

Персданные никак не защищены

— Вы — филиал, а кадровый учет ведет головной офис? Как вы пересылаете туда копии документов сотрудников, по почте? Данные не может кто-нибудь перехватить? Сейчас много хакеров. Или у вас защищенный канал?
— Почтой России пересылаем, и никто еще не жаловался! У нас даже трудовые книжки хранятся так, без сейфа. Кто их украдет? Все свои.

Персональные данные: требования законодательства и ответственность за его несоблюдение.

Несмотря на то, что требования законодательства о защите персональных данных работников установлены довольно давно и речь об этом идет постоянно, правила все же нарушаются и работники по-прежнему обращаются в суд с исками к работодателям. Суд не всегда встает на сторону истцов, но работодателю лучше изначально не допускать повода для судебных разбирательств. Тем более что скоро ответственность за нарушение порядка сбора, хранения и распространения персональных данных значительно ужесточится. Сегодня напомним, что относится к таким данным, какие обязанности по их защите установлены для работодателей и какой будет ответственность в этой сфере с июля 2017 года.

В силу ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту данных). К этой категории сведений относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • деловые и иные личные качества, которые носят оценочный характер;
  • сведения о заработной плате;
  • прочие сведения, которые могут идентифицировать человека.

Относится к персональным данным и изображение человека (фотографии, видеозаписи, портреты), которое позволяет установить его личность. Такие разъяснения, в частности, дает Роскомнадзор («О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

К сведению:

После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, детей, родителей).

Документов, содержащих персональные данные, довольно много, начиная с анкет, заполняемых при трудоустройстве, паспорта, документов об образовании, трудовой книжки, паспорта и заканчивая свидетельствами о заключении брака, рождении детей, медицинскими справками и т. д.

В соответствии со ст. 86 ТК РФ при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Обработка персональных данных работников.

Работодатель обязан соблюдать определенные требования по обработке этих данных.

Обратите внимание:

Обработка персональных данных осуществляется с согласия работника (п. 1 ст. 6, ст. 9 Закона № 152-ФЗ). Причем согласие должно быть конкретным, информированным и сознательным и составленным в письменной форме.

Основные требования к работодателю, осуществляющему обработку персональных данных работников, установлены в ст. 86 ТК РФ. И самое первое заключается в том, что такая обработка может осуществляться работодателем исключительно в целях:

  • обеспечения соблюдения законов и иных нормативных правовых актов;
  • содействия работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечения личной безопасности работников, контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества.

При обработке персональных данных работодатель

Получать персональные данные у самого работника. Если их можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие

Получать и обрабатывать сведения о работнике, относящиеся в соответствии со ст. 10 Закона № 152-ФЗ к специальным категориям персональных данных

За счет своих средств обеспечивать защиту персональных данных работника от неправомерного их использования или утраты

Получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности

Ознакомить работников и их представителей под подпись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

При принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронным путем

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов, в частности Закона № 152-ФЗ.

Передача персональных данных работников.

Итак, одно из самых главных правил при обработке персональных данных – работодатель сразу при трудоустройстве работника должен запросить у него письменное согласие на такую обработку. Причем следует запрашивать согласие и лиц, которые только еще претендуют на должность и также предоставляют свои персональные данные при собеседовании, заполнении анкет и других подобных документов.

Особое внимание следует уделять и передаче персональных данных работников третьим лицам. Ее правила установлены в ст. 88 ТК РФ. В частности, работодатель обязан:

  • не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, что данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.
Читайте также:
СЗВ-ИСХ – что это и кто сдаёт

К случаям, когда согласие работника на передачу персональных данных не требуется, относится передача определенных сведений о работнике в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, банк, обслуживающий банковские карты работников, и др.

Права работников.

Отдельная ст. 89 ТК РФ посвящена правам работников в целях обеспечения защиты их персональных данных, хранящихся у работодателя. В частности, работники имеют право:

  • на полную информацию об их персональных данных и обработке этих данных;
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных ст. 14 Закона № 152-ФЗ;
  • на определение своих представителей для защиты своих персональных данных;
  • на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору.

Кроме этого, работники имеют право требовать:

  • исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он вправе заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;
  • извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Есть у работников и некоторые обязанности. В частности, в соответствии со ст. 88 ТК РФ сотрудник не должен отказываться от прав на сохранение и защиту тайны, а также должен вместе с работодателем вырабатывать меры защиты своих персональных данных.

Ответственность работодателя.

В силу ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ при обработке персональных данных работника, привлекаются:

1. К дисциплинарной ответственности в виде замечания, выговора, или увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за однократное грубое нарушение трудовых обязанностей – разглашение персональных данных другого работника.

2. К материальной ответственностив порядке, установленном Трудовым кодексом, а также к гражданско-правовой согласно ГК РФ, на основании искового производства. В частности, работнику возмещается причиненный имущественный ущерб, убытки и моральный вред.

3.К административной ответственности.

Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Штраф, налагаемый на должностных лиц в размере от 1 000 до 3 000 руб.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Предупреждение или штраф: для должностных лиц – от 500 до 1 000 руб., для юридических – от 5 000 до 10 000 руб.

Разглашение информации, доступ к которой ограничен федеральным законом (если ее разглашение не влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП РФ

Штраф, налагаемый на должностных лиц от 4 000 до 5 000 руб.

Согласно ст. 23 Закона № 152-ФЗ органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона № 152-ФЗ и нормативных правовых актов, являетсяФедеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

При этом дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ, возбуждают прокуроры.

4. К уголовной ответственности:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
  • за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 ТК РФ);
  • за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее уничтожение, блокирование, модификацию либо копирование (ст. 272 УК РФ).

Административная ответственность с 1 июля.

Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 1 июля 2017 года,ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), излагается в новой редакции.

По сравнению с действующей редакцией, вместо одного общего состава правонарушения установлено семь самостоятельных составов. Значительно увеличился размер штрафа. И сделано еще одно серьезное изменение: привлекатьк административной ответственности по ст. 13.11 КоАП РФ с 1 июля будут не прокуроры, а должностные лицаРоспотребнадзора.

А теперь рассмотрим, за что и в каком размере смогут оштрафовать работодателей в случае нарушения ими законодательства о персональных данных работников в соответствии со ст. 13.11.

Часть 1.Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 5 000до 10 000 руб.;
  • на юридических лиц – от 30 000 до 50 000 руб.

Часть 2.Обработка персональных данных без письменного согласия субъекта на обработку его данных в случаях, когда согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку егоданных, влечет наложение штрафа:

  • на должностных лиц – от 10 000 до 20 000 руб.;
  • на юридических лиц – от 15 000 до 75 000 руб.

Часть 3. Невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 3 000 до 6 000 руб.;
  • на юридических лиц – от 15 000 до 30 000 руб.

Часть 4. Невыполнение оператором персональных данных обязанности по предоставлению их субъекту информации, касающейся обработки его персональных данных, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 4 000 до 6 000 руб.;
  • на юридических лиц – от 20 000 до 40 000 руб.
Читайте также:
Топ-5 ошибок при начислении отпускных

Часть 5. Невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 45 000 руб.

Часть 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении их материальных носителей и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:

  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 50 000 руб.

Часть 7. Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию данных влечет предупреждение или наложение на должностных лиц штрафа в размере от 3 000до 6 000 руб.

В заключение рекомендуем работодателям еще раз проверить, пока изменения не вступили в силу, от всех ли работников получено согласие на обработку персональных данных, ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области, должным ли образом осуществляется хранение и защита персональных данных, соответствует ли документация об их обработкетребованиям законодательства и т. д.

Причем привлечь к административной ответственности могут за нарушения, допущенные при обработке и передаче персональныхданных не только работников, но и граждан, которым организация оказывает различные услуги. Как работники, так иэти лица могут обратитьсяв суд с гражданским иском.

Также не следует забывать, что в случаях, когда действия должностных лиц принарушении в обработке персональных данных привели к серьезным последствиям, может наступить и уголовная ответственность.

Е. В. Давыдова , эксперт журнала

«Отдел кадров коммерческой организации» № 6, июнь, 2017 год.

Новые правила обработки и распространения персональных данных с 1 марта 2021 года

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Читайте также:
СЗВ-ИСХ – что это и кто сдаёт

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

  • ФИО заявителя;
  • контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: