Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.
Новое о персональных данных
С 1 марта 2022 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Ст. 88 ТК РФ: официальный текст
Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.
Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:
- паспортом или иным удостоверением личности;
Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.
- трудовой книжкой;
- свидетельством ПФР;
- документами об обучении;
- документами воинского учета;
- дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.
Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).
Насколько необходимо Положение о персональных данных
Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.
Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.
Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:
- положение о защите персональных данных наемных сотрудников;
- обязательство о сохранении в тайне (неразглашении) полученных персональных сведений; .
ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.
Состав Положения о персональных данных
Разделы данного документа содержат следующие необходимые подпункты:
- общие сведения;
- перечисление данных, считающихся персональными в конкретной компании;
- регламент применения данной информации;
- особенности доступа к этим сведениям;
- меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
- приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Источник получения персональных данных
Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.
Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.
К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».
Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.
Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[2], гл. 14 ТК РФ.
Персональными данными работника будет следующая информация:
• фамилия, имя, отчество;
• дата и место рождения;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• изображение человека (фотография и видеозапись), которое позволяет установить личность;
• деловые и иные личные качества, которые носят оценочный характер;
• другие сведения, которые могут идентифицировать человека.
Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.
К документам организации, содержащим персональные данные работников, относятся:
• анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;
• копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании;
• личная карточка по форме № Т-2;
• трудовой договор и дополнительные соглашения к нему;
• подлинники и копии приказов по личному составу;
• документы оплаты труда;
• документы об обучении, оценке, аттестации работников;
• базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»);
• при необходимости – иные документы, содержащие персональные данные работников.
Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ:
Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников. Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных.
Административная ответственность с 1 июля.
Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 1 июля 2017 года,ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), излагается в новой редакции.
По сравнению с действующей редакцией, вместо одного общего состава правонарушения установлено семь самостоятельных составов. Значительно увеличился размер штрафа. И сделано еще одно серьезное изменение: привлекатьк административной ответственности по ст. 13.11 КоАП РФ с 1 июля будут не прокуроры, а должностные лицаРоспотребнадзора.
А теперь рассмотрим, за что и в каком размере смогут оштрафовать работодателей в случае нарушения ими законодательства о персональных данных работников в соответствии со ст. 13.11.
Часть 1.Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение штрафа:
- на должностных лиц – от 5 000до 10 000 руб.;
- на юридических лиц – от 30 000 до 50 000 руб.
Часть 2.Обработка персональных данных без письменного согласия субъекта на обработку его данных в случаях, когда согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку егоданных, влечет наложение штрафа:
- на должностных лиц – от 10 000 до 20 000 руб.;
- на юридических лиц – от 15 000 до 75 000 руб.
Часть 3. Невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение штрафа:
- на должностных лиц – от 3 000 до 6 000 руб.;
- на юридических лиц – от 15 000 до 30 000 руб.
Часть 4. Невыполнение оператором персональных данных обязанности по предоставлению их субъекту информации, касающейся обработки его персональных данных, влечет предупреждение или наложение штрафа:
- на должностных лиц – от 4 000 до 6 000 руб.;
- на юридических лиц – от 20 000 до 40 000 руб.
Часть 5. Невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение штрафа:
- на должностных лиц – от 4 000 до 10 000 руб.;
- на юридических лиц – от 25 000 до 45 000 руб.
Часть 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении их материальных носителей и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:
- на должностных лиц – от 4 000 до 10 000 руб.;
- на юридических лиц – от 25 000 до 50 000 руб.
Часть 7. Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию данных влечет предупреждение или наложение на должностных лиц штрафа в размере от 3 000до 6 000 руб.
В заключение рекомендуем работодателям еще раз проверить, пока изменения не вступили в силу, от всех ли работников получено согласие на обработку персональных данных, ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области, должным ли образом осуществляется хранение и защита персональных данных, соответствует ли документация об их обработкетребованиям законодательства и т. д.
Причем привлечь к административной ответственности могут за нарушения, допущенные при обработке и передаче персональныхданных не только работников, но и граждан, которым организация оказывает различные услуги. Как работники, так иэти лица могут обратитьсяв суд с гражданским иском.
Также не следует забывать, что в случаях, когда действия должностных лиц принарушении в обработке персональных данных привели к серьезным последствиям, может наступить и уголовная ответственность.
Что такое персональные данные
Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Примерами документов, включающих личные данные, могут служить:
- карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
- трудовая книжка со стажем с предшествующих мест работы;
- дипломы, сертификаты об образовании;
- трудовой договор.
Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.
Каких работодателей касаются правила о персональных данных
Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.
Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.
Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.
Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.
Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
- сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
- персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
- обработка персональных данных, находящимся в открытом доступе;
- сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
- сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
- сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
- Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
- Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
- Отвечать на обращения субъектов и предоставлять им всю информацию.
- Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
- Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
- Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.