Персональные данные

Содержание

В каких случаях требуется передача персональных данных работника третьим лицам

Законодательство в сфере персональных данных с каждым годом предъявляет все более жесткие требования к их защите. Очевидно, что операторы собирают их не только для того, чтобы хранить и оберегать; обработка подразумевает и их передачу.

Скачайте документы из статьи

Статьей 88 ТК РФ определено, что в общих случаях передача персональных данных третьим лицам осуществляться не может. За исключением двух вариантов:

1. Служащий дал письменное согласие на передачу, при этом его предварительно проинформировали, кому и для чего понадобилась его личная информация.

2. Конфиденциальные данные передаются без согласия их субъекта в особых случаях:

  • в госорганы;
  • при угрозе жизни и здоровью человека;
  • в случаях, определенных федеральным законом.

Составляем Политику обработки персданных по новым требованиям Роскомнадзора

Роскомнадзор определил, что должно быть в политике обработки персональных данных. Проверьте, соответствует ли ваша политика новым правилам. Компания должна утвердить Положение о защите персональных данных и другие локальные акты, но они не заменят Политику, выбрать один из документов не получится. Если у вас такого документа еще нет, срочно утвердите. Штраф за его отсутствие — 30 тыс. рублей. Образец, который подготовили эксперты журнала “Справочник кадровика”, сэкономит вам время.

Если с первым пунктом всё понятно, то второй нуждается в пояснениях.

Что касается госорганов, то работодатель не может не передавать им сведения о сотрудниках. Это:

  • Фонд соцстрахования;
  • Пенсионный фонд;
  • Налоговые органы;
  • Трудовая инспекция;
  • Органы исполнительной власти, расследующие несчастные случаи в компании.

Очевидно, что отказ служащего от посредничества нанимателя во взаимодействии с этими учреждениями невозможен.

Кредитные учреждения, банки, страховые компании в этот перечень не входит. Им информация предоставляется только с письменного согласия служащего.

► Что касается передачи ПДн при угрозе жизни и здоровью – это вопрос приоритетности безопасности человеческой жизни. Например, при внезапном ухудшении здоровья, распространении инфекций, неоднократных отравлениях нанимателю придется по запросу передать в медучреждение имеющуюся у него информацию о здоровье служащего.

Также в некоторых отраслях от сотрудников требуется предварительное медобследование (медкнижка), результаты которого предъявляются контролирующим органами при проверках.

► Что касается случаев, определяемых федеральным законом к ним можно отнести, например, ч. 5 ст. 20 ФЗ № 79-ФЗ от 27.07.2004 г, который обязывает опубликовывать в СМИ по их обращениям информацию о доходах и имуществе госслужащих.

Есть еще несколько ситуаций, в которых у работодателя возникают сомнения: можно передавать ПДн или нет.

► Передача между структурными подразделениями (от кадровика к бухгалтеру или в отдел безопасности). Данная процедура необходима, и она возможна, но должна быть оговорена в Положении о защите ПДН, с которым служащий ознакомлен. Обмен данными происходит между лицами, включенными в приказ о сотрудниках, имеющих допуск к ПДн персонала.

► Передача родственникам служащего. Несмотря на близкие связи, они в данной ситуации являются третьими лицами, и без согласия сотрудника получить его данные не могут.

► Передача сведений в профсоюз – с письменного согласия сотрудника.

Как организовать работу с персональными данными, чтобы было удобно вам и безопасно для компании

Для вас две новости: хорошая и плохая. Плохая: появятся два новых штрафа за нарушения в работе с персональными данными. Хорошая новость — эксперты “Справочника кадровика” собрали все способы, как организовать работу с персданными так, чтобы было удобно вам и безопасно для компании. Как облегчить себе работу — узнаете из статьи.

Как оформляется передача данных

При заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения – нельзя.

Алгоритм передачи персональных данных третьим лицам в 2019 такой:

Шаг 1. От инстанции нанимателю пришел письменный запрос. Основной его критерий – мотивированность. Документ должен включать в себя указание цели запроса, ссылку на правовые основания запроса, перечень запрашиваемой информации.

Шаг 2. Проанализировав полученную бумагу, наниматель может сразу отказать в выдаче ПДн, если у него возникнут сомнения, аргументировав отказ тем, что запрашиваемые сведения отнесены законом к информации с ограниченным доступом.

Справочник кадровика в подарок!

Шаг 3. Если запрос закономерен, руководитель направляет служащему уведомление о необходимости дать согласие с указанием названия учреждения, запросившего данные и целей их использования.

Шаг 4. Сотрудник пишет согласие или отказ в передаче сведений.

Шаг 5. Если согласие получено, наниматель отправляет заявителю необходимую информацию, напоминая ему об ответственности и с просьбой предоставить отчет об использовании данных согласно означенным целям.

Шаг 6. Запросившая информацию инстанция по окончании проведения манипуляций с ней высылает начальнику служащего подтверждение того, что использовала ее в строгом соответствии с целями, указанными в первоначальном запросе.

Все упомянутые бумаги составляются в вольной форме, поскольку унифицированных бланков не существует.

Новые возможности для карьерного роста

Курс повышения квалификации «Документационное обеспечение работы с персоналом». Соответствует требованиям профстандарта «Специалист по управлению персоналом», за прохождение — удостоверение о повышении квалификации. Учебные материалы представлены в формате наглядных конспектов с видеолекциями экспертов, сопровождаются готовыми шаблонами документов, которые можно скачать и оставить себе для работы.

Что относится к персональным данным?

Персональные данные (далее ПД) – это всякая информация, которая непосредственно имеет отношение к определенному физлицу.

Физического лица

К ПД простых граждан относятся:

  • ФИО;
  • информация о месте и дате рождения;
  • местожительство;
  • данные, изложенные в паспорте;
  • СНИЛС;
  • льготы физлица.

Работника

К ПД работника относится та информация, которая важна для работодателя в связи с трудоустройством.

Стоит также отметить, что на законодательном уровне до сих пор не урегулировали момент, который касается управления личных дел сотрудников, поэтому чаще всего на практике работодателем в них включаются полные сведения.

А именно:

  • данные, указанных в паспорте;
  • СНИЛС;
  • воинский учет;
  • имеющееся образование;
  • заполненная анкета, которая выдается сотруднику при трудоустройстве;
  • договоре о трудоустройстве.

Кроме того сведения о трудовом соглашении и прекращении трудовой деятельности:

  • данные приказов, в которых говорится об увеличении зарплаты, поощрениях, начале работы и увольнении, переводах;
  • объяснительные письма, заявления работника;
  • документы, свидетельствующие о повышении классификации, прохождении собеседования сотрудником.

Муниципального служащего

Согласно ФЗ от 02.03.2007 N 25-ФЗ (ред. от 03.04.2017) «О муниципальной службе в Российской Федерации» статья 29, к ПД муниципального служащего относятся:

  • некоторые данные, взятые из биографии;
  • сведения, изложенные в паспорте;
  • данные о специальности, квалификации;
  • информация о выслуге лет и стаже;
  • о составе семьи и семейном положении;
  • воинская обязанность;
  • зарплата и льготы;
  • наличие или отсутствие судимости;
  • местожительство и телефонный номер;
  • договор о трудоустройстве;
  • заявления, которые были предоставлены и подавались налоговой;
  • информация о здоровье.

Гражданского служащего

Согласно ст.24 ФЗ от 27.07.04г. N 79-ФЗ «О государственной гражданской службе РФ», поступающему на работу лицу необходимо предоставить в инспекцию следующие ПД:

  • заявление о начале рабочей деятельности или поступлении на гражданскую службу, сюда же относится заявление о замене отсутствующего сотрудника;
  • сведения о зарплате;
  • анкета, которая выдается сотруднику при трудоустройстве;
  • СНИЛС;
  • трудовую книжку;
  • копия свидетельства о постановке на учет физлица в налоговом органе по местожительстве в РФ;
  • адреса из Интернет-ресурсов, на которых госслужащий размещал информацию, имеющую общий доступ;
  • сведения об специальности, опыте работы, повышении квалификации;
  • при заключении соглашения, может потребоваться предоставление иных документов.

Передача ПД третьим лицам может осуществляться только с написанного разрешения их владельца, исключая те случаи, когда этого требует ФЗ.

Коммерческой тайной зарплата являться не может из-за того, что она относится к системе оплаты труда. Но это не исключает ее из списка ПД, за распространение которых работника могут уволить согласно Трудовому Кодексу.

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

Виды

Типы персональных данных можно классифицировать по:

  • Заложенному в них содержанию:
  • Разряд, в который входит перечень, указанный в ст.10: раса, принадлежность к нации, религия, здоровье, личная жизнь, политические убеждения.

    При этом согласно ФЗ-152 здесь существуют ограничения, а именно, доступ может быть осуществлен только с письменного разрешения владельца.

  • Виду и цели обработки персональных данных:
  • Что значит обработка персональных данных читайте в нашей статье.

    ПД физиологического характера, которые позволяют оператору определить личность их владельца.

    Заграничное распространение ПД. Такой вид распространения информации можно разделить на три типа:

  1. страны, относящиеся к Конвенции Совета Европы (КСЕ);
  2. страны, не относящиеся к КСЕ, но осуществляют комплекс мер, направленный на защиту прав о ПД;
  3. страны, относящиеся к КСЕ и не осуществляют комплекс мер, направленный на защиту прав о ПД.

Если данные передаются последней группе, то необходим законный предлог, подкрепленный законом, или согласие владельца, или серьезный повод для сохранения интересов самого владельца.

Передача ПД в государственные информационные системы и муниципальные информационные системы. Здесь обработка проходит согласно функционирующим ФЗ.

Обработка ПД при политических выступлениях или при продвижении каких-либо товаров, услуг или работ. Ограничения, контролируемые ФЗ: несмотря на приобретение информации из источников, которые являются публичными, нужно указание на соглашение владельца, изложение которого возможно и не в письменном виде. к содержанию ↑

Информационная система персональных данных и оператор — что это?

Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.

Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.

Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.

Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.

Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.

Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.

Отказ в предоставлении третьим лицам

ФЗ-N152 «О персональных данных» начал действовать с 2006г., но полный отчет о своих ПД в обязательном порядке нужно было предоставлять с 2010г, когда был принят ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг».

И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.

Имейте в виду, что заявление нужно отправить не только на фактический адрес отделения банка, в котором вы брали кредит, а также на юридический адрес.

Отправляйте заявление заказным письмом: так у вас будет уведомление о получении. Указывайте адрес, который был вами прописан при заключении кредитного договора.

Приложите к отказу свою копию паспорта и кредитного договора: это поможет быстро найти ваши документы организацией и внести в них соответствующие изменения.

Но не забывайте, что каждая ситуация требует индивидуальных мер. В некоторых из них необходимо сотрудничество с соответствующими органами, например, с полицией.

Согласно ст.24 ФЗ N 261-ФЗ, лица, которые виновны в причинении вреда морального характера владельцу ПД при нарушении закона обработки и хранении их, обязаны нести уголовную ответственность за разглашение и распространение, а именно возместить моральный ущерб, вдобавок к имущественным, а также убыткам, которые понес владелец ПД.

Образец заявление на отзыв персональных данных скачивайте здесь.

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

Закон о персональных данных

Разные нормативно-правовые акты несут в себе определение персональных данных работника. Ознакомимся подробнее с соотношением их положений для того, чтобы выяснить, какие сведения являются персональными данными работников.

Правовой основой по их защите выступают нормы Конституции РФ и закона «О персональных данных».

Начнем с Конвенции Совета Европы, которая ратифицирована Россией в 2005 году — «О защите физических лиц при автоматизированной обработке персональных данных». Этот документ любую информацию касательно определенного физического лица относит к личным данным.

Такое лицо выступает субъектом персональных данных, а непосредственно к подобной информации причисляют: его ФИО, дату и место рождения, место проживания, семейный и общественный статус, данные об образовании, доходах и пр.

Согласно анализу норм Закона «Об информации» подразумевает под персональными данными информацию с ограниченным доступом. Всеобщая декларация прав человека гласит, что «подвергаться произвольному вмешательству в его личную и семейную жизнь не может никто».

Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство.

Проверка контрагента по ИНН онлайн доступна любому желающему. О том, с помощью каких ресурсов можно проверить контрагентов читайте в этой статье.

Персональные данные гражданина призваны проводить идентификацию его личности, а персональные данные работника дают ему характеристику в качестве сотрудника в определенной организации. Таким образом, к данным работника причисляют исключительно сведения, относящиеся к его способностям касательно выполнения трудовых функций.

Частная жизнь гражданина является его конституционным правом, а персональные данные имеют к ней самое непосредственное отношение.
Указ Президента РФ 1997 года определяет конфиденциальный характер персональных сведений, что означает их недоступность для масс общественности.

Трудовой кодекс РФ дает наиболее узкое трактование – под «персональными данными работника» подразумеваются сведения, в связи с трудовыми отношениями, необходимые работодателю и которые касаются конкретного сотрудника.

Обработка персональных данных

Далее рассмотрим предназначение ПД, исходя из норм трудового законодательства.

Персональные данные являются необходимой информацией для реализации трудовой деятельности, поскольку относятся к деловым качествам сотрудников.

Они проходят обработку в регламентированных законом целях, среди которых:

  • прием на работу и продвижение по карьерной лестнице;
  • контроль объема выполняемой работы и ее качества;
  • реализация выплаты заработка и др.

Закон устанавливает определенные методы защите персональных данных, согласно которым предусмотрен соответствующий правовой режим.

Например, в ст. 65 ТК РФ в списке документации, которую обязан представить работник при трудоустройстве, не указывается анкета, что означает, отсутствие у работодателя права требования представления этих данных.

Работники вправе получать полную и достоверную информацию касательно использования их персональных данных в рамках ТК. В следствии этого, руководство (оператор) в обязательном порядке должно проводить их ознакомление с такой информацией.

Сотрудники под роспись знакомятся с документацией, регламентирующей порядок обработки их персональных данных и собственных полномочиях в этой сфере.

Таким образом, определенный порядок доступа сотрудников к своим персональным данным нужно фиксировать в локальных нормативно-правовых актах. Предусмотренный порядок должен давать гарантии свободы доступа работников к их данным.

Кроме того, в связи с нарушениями положений, которые устанавливают их обработку и защиту, руководство вправе привлекать виновников к материальной и дисциплинарной ответственности, а государственные органы — к гражданской, административной и уголовной.

Защите персональных данных ТК выделяет целую отдельную главу, а судебные споры касательно разглашении личных данных зачастую заканчиваются решениями в пользу работников.

Типы персональных данных

Определяя объем и содержание персональных данных сотрудников, работодателям следует опираться на Конституцию РФ, Трудовой Кодекс и прочие федеральные законы.

Для организации трудовых процессов работодателем обрабатываются 2 типа документов.

К первому типу принадлежат задокументированные сведения, которые подает работник в связи с подписание трудового договора (трудовая книжка, паспорт, свидетельство пенсионного госстрахования, документы воинского учета, диплом, сертификаты касательно наличия специальных знаний и пр.).

Документация второго типа формируется непосредственно самим работодателем (приказы о поступлении работника, распоряжения о его перемещении, поощрения, личная карточка, расчетные документы и т.д.).

Критерии классификации Категория ПД Характеристика сведений
По степени доступа Общедоступные Субъект ПД дал согласие на доступ к ним неограниченного круга лиц или информация общедоступна согласно законодательству
Конфиденциальные Все ПД, кроме тех, касательно которых законом установлено обратное или в отношении которых субъект ПД согласился на распространение
По направлению Специальные Национальная и расовая принадлежность, политические взгляды, состояние здоровья, религиозные убеждения, судимость, личная жизнь
Обычные Все ПД, кроме тех, которые отнесены к специальным
По содержанию Биометрические Данные, которые характеризуют физиологию человека и позволяют установить его личность – отпечатки пальцев, радужка сетчатки, анализ ДНК, почерк и т.д. (точный перечень отсутствует).
Не биометрические Сведения, которые не относятся к биометрическим данным

Виды персональных данных

Все сведения касательно работника в рамках трудового процесса можно рассматривать в двух аспектах.

Семейное положение и сведения о членах семьи сотрудника – количество и возраст детей, возможное наличие иждивенцев (преимущества при решении вопроса о сохранении рабочего места), а также об их здоровье (ребенок-инвалид и др.).

Сведения о конкретном работнике – паспортные данные, состояние здоровья, профессия и обстоятельства, дающие возможность предоставления ему предусмотренных законом компенсаций (донорство, участие в ВОВ, инвалидность).

Работодатель разрабатывает локальный нормативно-правовой акт, в котором предусматривает сведения, имеющие отношение к персональным данным, порядку их использования и хранения. Таким актом может быть, к примеру, Положение о защите персональных данных работников.

Для перехода на УСН в налоговую следует направить заявление в формате № 26.2-1, которая утверждена от 2 ноября 2012г. и является единственной формой, а ранее для перехода на УСН следовало подавать заявление, которое было утверждено 13 апреля 2010г.

Законодательство дает организациям и индивидуальным предпринимателям право перехода на режим ЕНВД в течение календарного года. Необходимо лишь соответствовать некоторым условиям о которых можно узнать .

Существуют категории сотрудников, для которых подобные положения утверждаются приказами госорганов. К примеру, полный перечень персональных данных работника предусмотрен в Положении о защите персональных данных сотрудников Федерального фонда обязательного медстрахования.

Так, к персональным данным этих сотрудников относятся данные, содержащиеся в их личных делах, а именно:

  • паспортные реквизиты;
  • ксерокопия свидетельства пенсионного госстраха;
  • ксерокопия диплома, при необходимости – иной документации, свидетельствующей о наличии у работника специальных знаний;
  • другая документация.

Таким образом, под персональными данными сотрудников в соответствии с законодательством подразумеваются сведения, которые требуются руководству и имеют отношение к каждому конкретному сотруднику согласно трудовым отношениям.

Работодателем может собираться и проводится обработка исключительно той информации, которая имеет непосредственную связь с его трудовым правоотношением, поскольку это необходимо для реализации трудовой деятельности.

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

Норма

ст. 13.11

Состав административного правонарушения

Размер штрафа,

тыс. руб.

Часть 1

Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния

Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.

Вместо штрафа может быть сделано предупреждение

Часть 2

Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*

Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75

Часть 3

Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30.

Вместо штрафа может быть сделано предупреждение

Часть 4

Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40.

Вместо штрафа может быть сделано предупреждение

Часть 5

Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45.

Вместо штрафа может быть сделано предупреждение

Часть 6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Подчеркнем, что новые административные штрафы будут применяться с 1 июля 2017 года.

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

К категории персональных данных относятся, к примеру, такие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

  • в паспорте или ином документе, удостоверяющем личность;
  • в трудовой книжке;
  • в документах о воинском учете, образовании, составе семьи;
  • в справке о доходах с предыдущего места работы;
  • в анкете, заполняемой при трудоустройстве;
  • в личной карточке работника (форма Т-2);
  • в свидетельствах о заключении брака, рождении ребенка;
  • в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

Цели

обработки

персональных данных

  • обеспечение соблюдения законодательства;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников

Основные принципы обработки персональных данных

  • обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей;
  • содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки;
  • при обработке данных должны быть обеспечены их точность и достаточность, а в необходимых случаях – актуальность по отношению к целям обработки;
  • хранение данных должно осуществляться в форме, позволяющей определить их субъекта, не дольше, чем этого требуют цели их обработки*

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ. Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

  • перечень сведений, относимых к категории персональных данных;
  • какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
  • перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
  • кто и в каком порядке имеет доступ к полученным персональным данным;
  • меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
  • порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
  • процедуру уточнения персональных данных работников, их блокировку и уничтожение;
  • условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

  • без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
  • либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

  1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
  2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
  3. Наименование или Ф. И. О. и адрес работодателя.
  4. Цель обработки персональных данных.
  5. Перечень персональных данных, которые подлежат обработке.
  6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
  7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
  8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
  9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора. По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены

Источник

Из документов (сведений), предъявляемых при заключении трудового договора

Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ

По результатам обязательного предварительного медицинского осмотра о состоянии здоровья

Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора

Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)

Пункт 2 Разъяснений Роскомнадзора

От кадрового агентства, действующего от имени соискателя на вакантную должность

Пункт 5 Разъяснений Роскомнадзора

Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц

Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*

Источник

Третьим лицам в целях предупреждения угрозы жизни и здоровью работника

Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора

Во внебюджетные фонды

Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора

В налоговые органы и военные комиссариаты

Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора

По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем

Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора

По мотивированному запросу органов прокуратуры и правоохранительных органов

Абзац 7 п. 4 Разъяснений Роскомнадзора

По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности

Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора

В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом

Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *