Главное за неделю в рассылке
«Что делать Юристу»
Новости профессионального комьюнити и лучшие материалы
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности
Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников
Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников. Соответственно, все работодатели являются операторами персональных данных и должны соблюдать требования к сбору, хранению, обработке и уничтожению персональных данных в соответствии с требованиями, указанными в Законе 152-ФЗ и в главе 14 ТК РФ.
Как соблюсти все требования к защите персональных данных работников в своей статье рассказывает эксперт «Что делать Консалт». Также она дает полный разбор мер, которые обязан предпринять работодатель, чтобы защитить персональные данные работников с учётом всех требований законодательства.
В законе указаны принципы работы с персональными данными, среди которых целевой характер обработки. Цель необходимо определить в первую очередь, ещё до начала обработки. Именно такую цель нужно указывать в документах по персональным данным. Вокруг цели складывается порядок действий по работе с персональными данными. За обработку персональных данных, не совместимых с целями обработки, возможно привлечение к ответственности. Штраф по ч. 1 ст. 13.11 КоАП РФ для организации от 60 000 до 100 000 рублей.
В рамках трудового законодательства выделяют следующие цели обработки:
Целей обработки у оператора может быть несколько, при этом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ст. 5 Закона 152-ФЗ). Если организация обрабатывает персональные данные не только сотрудников, но и клиентов, то объединять эти базы нельзя.
Закон не содержит чёткого перечня документов, которые должны быть у оператора персональных данных. Рекомендуем разработать следующие документы.
Формы и образцы заполнения политики в отношении обработки персональных данных вы можете найти в справочно-правовой системе КонсультантПлюс:
Обратите внимание на документы, которые касаются лиц, имеющих доступ к персональным данным. Это очень важно. В первую очередь это поможет избежать ответственности за нарушение законодательства. Если таких документов нет, то получается, что вы передали информацию третьим лицам без согласия. За такие действия возможен штраф по ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 150 000 рублей. Кроме того, это поможет привлечь к ответственности лиц в случае разглашения такой информации.
Можно разработать и другие документы, например регламенты по работе с персональными данными или журналы учёта.
Готовые решения СПС КонсультантПлюс подскажут, как действовать в конкретной ситуации: пошаговые инструкции, образцы документов, ссылки на правовые акты.
После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:
Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников? Такого требования нет в Трудовом кодексе. Кроме того, из п. 8 ст. 86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись, и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ. Но обработка персональных данных работника регулируется не только Трудовым кодексом. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности. Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности опубликовать политику на сайте, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.
Обращаем внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ. Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 60 000 рублей.
Уникальный инструмент «Перспективы и риски арбитражных споров» СПС КонсультантПлюс поможет одержать победу в судебном споре.
До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ.
В некоторых случаях законом предусмотрены исключения, среди которых обработка в соответствии с трудовым законодательством.
Обратите внимание, исключение действует только на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.
Аналогичное уведомление необходимо направить, если цель обработки выходит за рамки трудового законодательства. Например, в случае если организация передаёт персональные данные в рамках аудиторской проверки. Это связанно с тем, что передача аудиторской организации информации о работниках ООО проводится не в соответствии с трудовым законодательством, а в соответствии с Законом № 307-ФЗ. При этом проводится аудит в обязательном порядке или добровольном, не имеет правового значения.
Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов. Включение в реестр не влечёт возникновения дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст. 19.7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.
Направить уведомление можно на бумажном носителе или в электронной форме.
Если вы подаёте уведомление в бумажной форме, то необходимо придерживаться рекомендаций по заполнению, указанных в п. 3.1 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94. Сама форма приведена в приложении 1 к указанным рекомендациям.
Вы можете подать документ в электронном виде. Форма документа и порядок её заполнения размещены на портале Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/, п. 3.2 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94).
Если сведения, которые вы подавали, изменились или обработка персональных данных прекращена, то необходимо уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений или прекращения обработки персональных данных (ч. 7 ст. 22 Закона 152-ФЗ).
Обрабатывать персональные данные без согласия субъекта нельзя. Это следует из п. 1 ч. 1 ст. 6 Закона 152-ФЗ. Соответственно, перед началом обработки необходимо получить согласие субъекта.
Законодательство допускает включить согласие на обработку персональных данных в трудовой договор, заключаемый по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 № 858). Такую форму вправе использовать микропредприятия и некоммерческие организации, которые соответствуют требованиям, указанным в ст. 309.1 ТК РФ. В форме прямо предусмотрено соответствующее положение. Типовой трудовой договор заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях рекомендуем получать согласие отдельным документом. Включение такого условия в трудовой договор сопряжено определёнными рисками. Например, суд или контролирующий орган может посчитать, что согласие было дано вынуждено и оно не соответствует требованиям, указанным в ст. 9 закона 152-ФЗ. Кроме того, если работник отзывает согласие на обработку персональных данных, которое включено в трудовой договор, то необходимо оформлять дополнительное соглашение, поскольку изменились условия, отражённые в документе.
Образец согласия на обработку персональных данных работника вы можете найти в справочно-правовой системе КонсультантПлюс.
С помощью СПС КонсультантПлюс вы будете легко ориентироваться в законодательстве, вовремя отслеживать все изменения.
Если планируется не только обрабатывать, но и распространять данные субъектов, то на такие действия необходимо получать отдельное согласие. Такое согласие может понадобиться, если, например, публикуется информация о сотрудниках на сайте организации.
Эти требования появились в 2021 году (ст. 10.1 Закона 152-ФЗ). Согласие на обработку персональных данных, разрешённых для распространения, получается отдельно от иных согласий. Если работник подписал согласие на обработку персональных данных, но не дал согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо. Субъект самостоятельно выбирает, какую информацию о себе разрешает распространять. Например, он может предоставить для обработки Ф.И.О., дату рождения, СНИЛС, сведения об образовании, а дать разрешение на распространения только на Ф.И.О. и сведения об образовании.
Согласие на распространение может быть предоставлено оператору следующими способами (п. 6 ст. 10.1 Закона № 152-ФЗ):
К такому согласию применяются особые требования, указанные в Приказе Роскомнадзора от 24.02.2021 № 18. На портале Роскомндзора функционирует интернет-сервис для подготовки формы такого согласия (https://pd.rkn.gov.ru/soglasiya/maket/).
При хранении персональных данных вы должны принять правовые, организационные и технические меры, чтобы не допустить любые противоправные действия в отношении этих данных, например утечку, кражу, незаконное распространение (ст. 19 Закона 152-ФЗ).
Закон предъявляет ряд требований к порядку хранения:
Можно обрабатывать данные с помощью средств автоматизации (базы данных) или без их использования (на бумаге). Это следует из п. 3 ст. 3 Закона 152-ФЗ.
Обращаем внимание, при автоматизированной обработке необходимо использовать только те базы, которые находятся в России. Это касается также сбора сведений через интернет (ч. 5 ст. 18 Закона 152-ФЗ). В случае использования баз данных, находящихся на территории других государств оператор может быть привлечён к административной ответственности. Штраф по ч. 8 ст. 13.11 КоАП РФ от 1 000 000 до 6 000 000 рублей.
Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам, указанным в ст. 12 Закона 152-ФЗ.
Персональные данные работников уничтожаются в следующих случаях:
Закон не предусматривает требований к удалению персональных данных, но вы должны иметь возможность подтвердить этот факт. Рекомендуем создать комиссию, составить акт или иным образом зафиксировать удаление. Формы документов утверждаются оператором (<Информация> Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).
Итак, в работе с персональными данными работников много сложностей. Необходимо составить ряд документов, получить согласие, обеспечить надёжное хранение. Подробные инструкции, формы и образцы заполнения документов вы можете найти в справочно-правовой системе КонсультантПлюс.
Путеводитель по кадровым вопросам. Персональные данные работников {КонсультантПлюс}
С помощью СПС КонсультантПлюс вы сможете уверенно взаимодействовать с надзорными органами, органами государственной и муниципальной власти.
Вопрос
Может ли работодатель в личном деле сотрудника хранить не только персональные данные в виде информации, но и копии его личных документов (паспорт, СНИЛС, ИНН и др.)?
Ответ
По данному вопросу есть две точки зрения.
Согласно разъяснениям Роструда работодатель может хранить копии документов в личном деле, если работник дал согласие на хранение и обработку персональных данных (Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за II квартал 2017 г. (утв. Рострудом)).
Роскомнадзор придерживается противоположной позиции. По мнению ведомства такое хранение является обработкой персональных данных, избыточных по отношению к заявленным целям обработки, что нарушает ч. 5 ст. 5 Закона 152 ФЗ. Если в ходе проверки выявится, что организация хранит копии личных документов сотрудника, то она может быть привлечена к ответственности (ч. 1 - 2.1 ст. 13.11 КоАП РФ).
Позиция Роскомнадзора подтверждается судебной практикой: Постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013, Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013. Согласно позиций судов хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребёнка на рабочем месте превышает объём обрабатываемых персональных данных работника, что действующим законодательством не предусмотрено, а также нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.
В связи с тем что позиция по данному вопросу неоднозначна, для исключения возможных претензий к работодателю, а также риска административной ответственности по ст. 13.11 КоАП РФ не рекомендуем хранить копии личных документов работника.
Смотрите по этой теме видео на нашем YouTube-канале
Бот сообщит, что вышла статья или видео по вашим интересам, а любимый автор выпустил материал. Еще он умеет ставить важные темы на контроль и приглашает на розыгрыши призов
Новости профессионального комьюнити и лучшие материалы
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности