Начало  ►  Трудовое Право  ►  Трудовой договор, Увольнение
Обработка ПЕРСОНАЛЬНЫХ данных: согласие, защита, образцы, закон о персданных

Понятие персданных, согласие на обработку, общедоступные персональные данные

Когда обязательно получать согласие сотрудников на обработку персональных данных. Какие документы оформить, что грозит за нарушения при работе с персданными.

        30 авг. 2018      1      1374

Что такое персональные данные ?

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

ФИО и любая другая информация о физическом лице – это персональные данные. Если у вас есть сотрудники или вы храните персональные данные соискателей, клиентов или других физических лиц, вы должны выполнять требования закона о персональных данных №152-ФЗ от 27-06-2006 г.

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. Cообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение.

Примечание: Пункт 3 части 1 статьи 86 ТК.

Важно! - сведения о зарплате – также персональные данные. Об этом сказано в письме Роскомнадзора от 07.02.2014 № 08КМ-3681. За то, что бухгалтер неправильно хранит или защищает данные о начислениях и выплатах сотрудникам, предусмотрена ответственность. Например, без согласия сотрудника нельзя сообщать его бывшей жене информацию о зарплате.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 ТК и статье 10 Закона от 27.07.2006 № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27.07.2006 № 152-ФЗ).

Работодатель хранит копии у сотрудников

паспорта, военного билета, свидетельства о заключении брака, рождении ребенка, проверяющие из Роскомнадзора могут квалифицировать как обработку персональных данных, которые избыточны по отношению к заявленным целям их обработки. Есть суды, которые поддерживают такую позицию (постановления ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013, от 11.03.2014 № А53-10287/2013). В этом случае организации и ее должностным лицам грозит ответственность.






Положение о Защите персональных данных, Приказ о назначении ответственного

Чтобы не допустить разглашения персональных данных, нужно создать надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников (.docx 52Кб). Положение утверждает руководитель организации. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Чтобы избежать санкций, смотрите в памятке, за какие действия с персональными данными могут наказать бухгалтера.

Нужно назначить ответственного по работе с персональными данными. Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Ответственного за работу с персональными данными назначьте приказом (.docx 36Кб) в произвольной форме (ч. 5 ст. 88 ТК).

Примечание: Скачайте еще один образец приказа "О назначении ответственных сотрудников за защиту персональных данных" (.docx 14Кб)

При обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.
Примечание: Пункт 6 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 требований, утв. постановлением Правительства от 01.11.2012 № 1119).


Согласие на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.
Примечание: Часть 4 статьи 9 Закона от 27.07.2006 № 152-ФЗ.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений из пунктов 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27.07.2006 № 152-ФЗ. Например, чтобы совершить правосудие или защитить жизнь либо здоровье самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27.07.2006 № 152-ФЗ.

При возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27.07.2006 № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а кто непосредственно обрабатывает персональные данные по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ).

Согласие на обработку персональных данных работодатель должен получать не только от работников, с которыми есть трудовые отношения, но и от соискателей, а также от людей, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14.12.2012.

Нужно ли получать у работника согласие на обработку персональных данных при трудоустройстве



Все зависит от того, какую информацию организация хочет получить.

Работодатель может получать, хранить и передавать только ту информацию о сотруднике, которая необходима для исполнения трудового договора (п. 2, 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 разъяснений Роскомнадзора от 14.12.2012, далее – Разъяснения). Сотрудник выступает стороной трудового договора, поэтому получать у него согласие на обработку персональных данных нужно не во всех случаях. Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил:

по результатам обязательного предварительного медосмотра (ст. 69 ТК, п. 3 Разъяснений);
из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК);
от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
из резюме кандидата в сети Интернет, доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, который предусмотрен личной карточкой. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Согласие нужно, когда хотите получить от соискателя какую-то дополнительную информацию, которая не нужна для исполнения трудового договора. Например, адрес личной электронной почты или номер телефона. Также получите согласие, если будете передавать личные данные сотрудника третьим лицам. Например, охранной организации, которая следит за пропускным режимом на территории вашей компании, или сторонней организации, которая ведет учет вашей компании (п. 5 Разъяснений).

Нужно ли получать согласие на обработку персональных данных сотрудника для изготовления ему бейджика



Ответ на вопрос зависит от цели изготовления бейджика. Согласие потребуется, если эта процедура не подпадает под случаи, когда обработка данных не требуется.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу, то есть конкретному сотруднику. Примерами такой информации могут быть в том числе фамилия, имя, отчество сотрудника. Об этом говорится в пункте 1 статьи 3 Закона от 27.07.2006 № 152-ФЗ.

В общем случае на обработку персональных данных сотрудника требуется его согласие (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона от 27.07.2006 № 152-ФЗ). Вместе с тем, в законе предусмотрены исключительные случаи, когда получать согласие не нужно. Например, если обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании. Или если обработка персональных данных проводится при осуществлении пропускного режима на территории служебных зданий и помещений работодателя при условии, что организацию пропускного режима работодатель осуществляет самостоятельно. Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14.12.2012.

Таким образом, если изготовление бейджа исходя из цели подпадает под указанные исключения, то получать дополнительное согласие работника не нужно. Если же не подпадает и изготовление бейджа относится к разовой процедуре, не связанной напрямую с трудовой деятельностью работника, то получить согласие нужно.

Если делаете на бейджике фото, обязательно получить согласие сотрудника на обработку персональных данных. Фотография – это биометрические данные (определение Верховного суда от 05.03.2018 № 307-КГ18-101).



Подготовить документы в сервисе «Персональные данные»






Дисциплинарная, материальная, административная и уголовная Ответственность за нарушения в работе с персданными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК, ч. 1 ст. 24 Закона от 27.07.2006 № 152-ФЗ).

К дисциплинарной ответственности

могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их.

Материальная ответственность

может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 192, ст. 238 ТК).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц оштрафуют. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Размеры штрафов зависят от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организацию – на сумму от 15 000 до 75 000 руб.

Примечание: Такие меры ответственности предусмотрены статьями 13.11 и 13.14 КоАП.

Уголовная ответственность

Согласно статьи 137 УК для руководителя организации или иного ответственного за работу с персональными данными может наступить, если незаконно:

  • собирать или распространять сведения о частной жизни сотрудника, составляющие его личную или семейную тайну, без его согласия;
  • распространять сведения о жизни сотрудника в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27.07.2006 № 152-ФЗ. Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК).





Подписаться на получение новых материалов с сайта
ДОПОЛНИТЕЛЬНЫЕ ССЫЛКИ по теме






  

Звать
Текст *

Включите графику, чтобы увидеть код
  
8(800)500-27-29 доб.322

.