Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные работника: что важно знать об этом». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Защита персональной информации соискателей
Резюме соискателя включает большой объем персональной информации — к ним относятся номер телефона и электронная почта, данные об образовании и о месте жительства.
Роскомнадзор рекомендует работодателям получать согласие на обработку персональных сведений из резюме для обеспечения их защиты. Оно оформляется на время прохождения собеседования, пока не примут окончательное решение.
Согласие не нужно в таких ситуациях:
- резюме соискателя компания получает от агентства по подбору персонала. В этом случае именно агентство обязано защищать персональные данные;
- соискатель сам загружает резюме в открытый доступ, к примеру, на сайте по поиску работы. В этом случае сайт и соискатель совместно несут обязанность по защите персональных данных.
Защита персональной информации, полученной из анкет
Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:
- любая такая анкета должна включать сведения о сроке ее рассмотрения;
- нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
- в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
- у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.
Особенности работы с персональными данными
Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.
На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:
- паспорт гражданина РФ (или иной документ для подтверждения личности);
- трудовую книжку;
- ИНН и СНИЛС;
- диплом об образовании или квалификации;
- документы о воинской обязанности.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Как передать обработку ПД третьим лицам
Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.
В акте необходимо указать:
- перечень обрабатываемых персональных данных;
- обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
- обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
- обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Комментарий к ст. 86 ТК РФ
1. Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Приведенные положения соответствуют важнейшим международным актам о защите прав и свобод человека:
— Международному пакту о гражданских и политических правах (1996 г.), ст. 17 которого предусматривает, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.
Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств;
— Конвенции о защите прав человека и основных свобод (1950 г.), ст. 8 которой устанавливает, что каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.
Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц;
— Конвенции Содружества Независимых Государств о правах и основных свободах человека (1995 г.), ст. 9 которой определяет, что каждый человек имеет право на уважение его личной и семейной жизни, на неприкосновенность жилища и тайну переписки.
Не должно быть никакого вмешательства со стороны государственных органов в пользовании этим правом, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах государственной и общественной безопасности, общественного порядка, охраны здоровья и нравственности населения или защиты прав и свобод других лиц.
2. 19.12.2005 Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 с поправками, одобренными Комитетом министров Совета Европы 15.06.1999, подписанную от имени Российской Федерации в г. Страсбурге 07.11.2001.
Целью Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных (защита данных).
Для целей данной Конвенции термин «персональные данные» означает информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных); термин «автоматизированная база данных» означает любой набор данных, к которым применяется автоматическая обработка; автоматическая обработка персональных данных включает в себя операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; контролер базы данных есть физическое или юридическое лицо, государственный орган, ведомство или любая другая организация, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.
3. На 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ (Постановление от 16.10.1999 N 14-19) принят Модельный закон о персональных данных, который определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.
Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.
В соответствии с этим Законом персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.
Материальные носители — материальные объекты (в т.ч. физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.
Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.
Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.
Действия (операции) держателя с персональными данными — сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.
Сбор персональных данных — документально оформленная процедура получения держателем персональных данных от субъектов этих данных.
Передача персональных данных — предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.
Трансграничная передача персональных данных — передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.
Уточнение персональных данных — оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.
Блокирование персональных данных — временное прекращение передачи, уточнения и уничтожения персональных данных.
Что такое согласие на обработку персональных данных?
Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.
Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.
Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.
Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
-
Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
- Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
- Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
Как хранить и использовать?
Руководством предприятия устанавливается порядок, по которому осуществляется хранение и применение информации о сотрудниках. Указанные правила подлежат отражению в нормативах локального значения. Установлено, что они полностью должны отвечать требованиям законов.
Чаще всего документы, включающие сведения о человека, собираются в единый акт. Именуется он личным делом. Работодатель разрабатывает порядок ведения таких дел.
Перечень типовых управленческих документов устанавливает срок, в течение которого хранятся сведения. Постоянный срок хранения применим к тем, кто занимал руководящие должности. Аналогичные положения отнесены к сотрудникам, имеющим звания и награды, премии. Для других работников такой период равняется 75 годам. Главный акт, где отражена информация о работе – трудовая книжка.
В ней прописаны данные персонального значения. Порядок хранения такого акта отражен в Правилах, утвержденных Правительством под № 225. Согласно указанному документу на руководство компании возлагается ответственность за сохранность книжек. Руководитель вправе издать приказ и с его помощью переложить ответственность на другого сотрудника.
Руководство компании обязано создать условия для сохранности информации. Сохранить их требуется от доступа других лиц, уничтожений. В некоторых ситуациях стараются внести изменения или распространить сведения. Подобных ситуаций потребуется избегать.
Защита персональных данных
Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.
К исключениям относятся:
- только ФИО субъектов;
- трудовые отношения;
- договорные отношения;
- общедоступные персональные данные;
- однократные пропуска на территорию;
- когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
- транспортная безопасность.
Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.
Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.
Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).
Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.
Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.
Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:
- Положение о персональных данных;
- Приказ об утверждении положения;
- Приказ о назначении ответственного лица;
- Политика в отношении обработки и безопасности персональных данных;
- Пользовательское соглашение в приложении и на сайте;
- Инструкция ответственного за организацию обработки персональных данных;
- Приказ о выделении помещений для обработки персональных данных + правила доступа;
- Журнал учета машинных носителей информации с персональными данными.
Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.
Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.
Хранение и использование персональных данных
Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.
Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.
Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.
Ответственность за нарушение правил работы с персональными данными
ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности (ст. 90 ТК РФ).
За нарушение правил работы с персональными данными работников сотрудник организации, ответственный за хранение таких данных, может быть привлечен к дисциплинарной ответственности путем применения к нему одного из дисциплинарных взысканий, предусмотренных ТК РФ (замечание, выговор, увольнение). Дисциплинарные взыскания могут быть наложены только на тех сотрудников, в чьих трудовых договорах содержится обязанность по соблюдению правил работы с персональными данными. При этом трудовой договор с сотрудником, разгласившим охраняемую законом тайну (к которой относятся и персональные данные), может быть расторгнут по инициативе работодателя (пп. «в» п. 6 ст. 81 ТК РФ). Однако нужно иметь в виду, что увольнение по этому основанию возможно именно за разглашение персональных данных. За иные нарушения правил работы с персональными данными работодатель вправе наложить другое дисциплинарное взыскание.