Персональные данные работников: как работодателю не нарушить закон

Оглавление

Защита персональных данных работника

Кроме ФЗ № 152 важнейшим юридическим документом в отношении соблюдения законности при использовании персональных данных является Трудовой кодекс РФ. Его 14-я глава регламентирует требования по защите персональных данных, а также ответственность при нарушениях, связанных с ПДн работника. В статье 86 ТК РФ указано, что работодатель наделен полномочиями по сбору материалов, которые находятся в плоскости этих трудовых отношений, он не может произвольно изымать и хранить данные, которые никак не относятся непосредственно к рабочему процессу. Также эта статья определяет требования, обеспечивающие права и свободы граждан, которые должен гарантировать работодатель во время обработки ПДн работника:

  • эти действия возможны только для целей, обеспечивающих содействие работнику при его трудоустройстве, прохождении обучения, продвижении по карьерной лестнице, выполнении мероприятий по обеспечению личной безопасности сотрудников предприятия, проведении контроля количества и качества его трудовой деятельности;
  • оператор должен соблюдать требования Конституции РФ, федерального законодательства во время установления количества и видов обрабатываемых ПДн;
  • все ПДн сотрудника нужно получать непосредственно от него. Если нет возможности личной передачи работником своих данных, допускается их получение от иной стороны, если сотрудник заранее оповещен о выполнении таких действий оператором, для этого нужно получить его согласие в письменном виде;
  • оператор обязан уведомить сотрудника о целях, вариантах получения его личных сведений и их источниках, а также о последствиях отказа сотрудника предоставить в письменном виде свое согласие на получение его ПДн;
  • оператор не имеет права на получение и обработку информации о сотруднике, которая относится к категории специальной в соответствии с законодательством РФ (раса, национальность, интимные данные, политические взгляды, религиозные взгляды и др.);
  • оператор также не может получать, выполнять обработку информации о работнике, о его принадлежности к общественным организациям, его профсоюзной работе;
  • принятие решений, связанных с интересами сотрудника, оператор не может брать за основу его персональные данные, которые были получены только по электронным каналам или с использованием автоматизированной обработки;
  • оператор обязан создать действенную защиту ПДн работника от незаконного применения, утраты. Для этого должны использоваться необходимые средства работодателя, а все действия выполняться в соответствии с требованиями ТК РФ и иных ФЗ;
  • оператор должен ознакомить сотрудника под роспись с документацией, определяющей порядок работы с ПДн;
  • оператор, работник, их законные представители совместно разрабатывают меры по защите ПДн работников.

Положение для работы с личными данными

Стоит отметить, что ни ФЗ № 152, ни подзаконными актами не устанавливается точного алгоритма работы с персональными данными — определяются лишь общие требования к такой работе. Именно поэтому в целях упорядочения данного процесса, опираясь на требования статей 18.1, 19 ФЗ № 152, упомянутых выше постановлений Правительства РФ № 687, 1119 и нормы ТК РФ, работодателю желательно издать положение, которое детально будет регламентировать все процедуры, связанные с обработкой личных данных (сбор, хранение, использование, обезличивание, передачу внутри организации, уничтожение и т. д.).

В данном положении также следует уделить внимание правам работников, которые предусмотрены статьей 89 ТК РФ, в частности:

  • на бесплатный и свободный доступ работника к своим личным данным;
  • уточнение и внесение исправлений в случае установления неполноты или недостоверности личных данных;
  • определение представителей, которые будут осуществлять защиту прав работников в данной сфере.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Передача персональных данных участников закупки по требованию заказчика

Ст 88 ТК РФ целиком посвящена правилам и ограничениям при передаче персональных данных (ПД) сотрудников. Рассмотрим вопрос о том, могут ли передаваться личные данные, если этого требует заказчик при совершении закупки.
ФЗ о закупке товаров отдельными юр. лицами № 223 гласит, что при совершении закупок заказчики обязаны соблюдать требования Конституции и других правовых актов РФ.
Заказчики действуют на базе положения о закупке — это документ, содержащий требование к закупке, порядок её процедуры, способы и условия, обязательные пункты договоров и иные связанные с этим моменты.
К закупкам должны иметь доступ все заинтересованные лица. Для обеспечения такого доступа заказчикам рекомендуется составлять исчерпывающий список требований к участнику закупки, а также к тем документам, которые необходимо представить в составе заявки. К требованиям, предъявляемым участникам закупки, могут относиться и просьба передать персональные данные сотрудников фирмы-участника. К таким данным может относиться любая информация, прямо или косвенно касающаяся конкретного физ. лица (ФИО, должность и т.п.).
Заперта на передачу ПД работников законодательство не устанавливает, предусмотрены только ограничения. В частности, работодателю нельзя передавать и раскрывать ПД сотрудников 3-м лицам без разрешения самих работников (ст 88 ТК РФ ст 7 закона 152 ФЗ). В случае возникновения претензий доказывать наличие согласия обязан будет именно работодатель.
Получается, что заказчик вполне может для определения соответствия участников закупки необходимым требованиям запросить необходимые личные данные её участника, если это будет установлено документацией. Однако передаваться эти сведения могут только с учётом ограничений, предусмотренных ст 88 ТК РФ. По нормам этой статьи, отправляя ПД заказчику, руководству фирмы-исполнителя необходимо:

  • предварительно получить письменное разрешения субъектов ПД;
  • предупредить заказчика о том, что данные работников быть использованы использованы лишь в целях, для которых они сообщаются;
  • потребовать подтверждения использования данных только в указанных целях и соблюдения режима конфиденциальности.

***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных

Например, сейчас на рассмотрении в Госдуме находится законопроект, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса

Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн

_____________________________

 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников. 

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные. 

Так нужно в силу ст. 22.1 Закона № 152-ФЗ. 

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя. 

3. Берите с каждого работника письменное согласие на обработку персональных данных. 

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных. 

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ. 

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

7. Исполняйте требования закона не только формально. 

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 09.02.2021

Меры материальной ответственности

В случае незаконного распространения директором личных сведений собственных подчиненных, в его отношении может быть установлена материальная ответственность. В подобной ситуации на директора могут быть возложены следующие виды компенсаций:

  • выплата денежной компенсации за причиненный сотруднику материальный ущерб. Точный размер такой выплаты всегда определяется в индивидуальном порядке. Окончательная сумма будет зависеть от различных факторов, например, от степени серьезности совершенного работодателем нарушения, от ущерба, который был причинен служащему и т.д.;
  • выплата дополнительной денежной компенсации за причиненный подчиненному моральный ущерб. Данный вид ущерба представляет собой оплату психологических страданий, которые стали следствием допущенных другой стороной нарушений. Размер такой компенсации также рассчитывается индивидуально. Важным нюансом здесь будет являться тот факт, что получить такую выплату заявитель сможет лишь в судебном порядке. В иске им может быть указана абсолютно любая сумма морального вреда. Суд, в свою очередь, вправе удовлетворить выплату этой суммы полностью либо только частично.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Какие данные являются персональными

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Журналы учета персональных данных

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

Журнал учета внутреннего доступа к персональным данным работников

В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

Журнал учета выдачи персональных данных работников организациям и государственным органам

В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Уголовное наказание

В ст. 137 УК предусмотрены меры ответственности за нарушение неприкосновенности личной жизни гражданина. В частности, незаконный сбор либо распространение сведений, представляющих персональную тайну лица, без его разрешения или обнародование их в публичном выступлении или демонстрирующемся общественности произведении или СМИ наказываются:

  • Штрафом до 200 тыс. руб. либо в сумме дохода виновного за 18 мес.
  • Обязательными работами – 120-180 час.
  • Арестом до 4 мес.
  • Исправительными работами до года.

Если эти же действия виновный осуществил при исполнении своих обязанностей, то в УК предусмотрены:

  • Штраф – 100-300 тыс. руб. или доход за период от 1 года до 2 лет.
  • Арест – от 4 до 6 мес. с запретом занимать определенные должности или без него и прочие меры.

Требования к работодателю по обработке и передаче персональных данных

Статья 86 Трудового Кодекса РФ обязывает работодателя обрабатывать персональные данные работника исключительно в служебных целях: содействие подчиненным в продвижении по службе, получение ими образования, а также обеспечения личной безопасности сотрудников и контроль за качеством и количеством выполняемой ими работы.

Источником получения информации о персональных данных работника должен являться непосредственно он сам.
В исключительных случаях возможно истребование таких данных у третьих лиц, но опять же только с письменного согласия носителя. При этом работник должен быть предупрежден о последствиях отказа в предоставлении данных о себе под расписку.

Сведения, составляющие персональные данные специальной категории, получению и обработке при трудоустройстве не подлежат.

Согласие работника обязательно и при передаче его персональных данных третьим лицам. Исключение составляют лишь случаи, когда разглашение такой информации необходимо в целях предупреждения угрозы здоровью работника. При этом статья 88 Трудового Кодекса РФ запрещает передавать персональные данные в коммерческих целях.

Порой работники отказываются от сохранения в тайне и защиты личной информации о себе. Кто-то делает это под давлением руководителя, кто-то, напротив, из соображений доверия. Однако какой бы ни была причина отказа, он в любом случае незаконен, поскольку прямо противоречит конституционным нормам.