Как правильноознакомить работников о работе их с персональными данными

Случаи обработки данных без согласия сотрудника

После получения персональных данных сотрудника у работодателя возникает необходимость их обработки.

По общему правилу обработку таких данных можно проводить только с письменного согласия сотрудников. В согласии должна быть указана информация об объеме обрабатываемых данных, целях, способах обработки, сведения о том, кто обрабатывает данные, срок, в течение которого действует согласие сотрудника, и его подпись (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

В отдельных случаях обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами организации (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета, а также данных, переданные в архивную организацию.

Положение об обработке персональных данных

Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре организации.

Об этом сказано в абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.

Внимание

Когда ПД формируются на протяжении трудовой деятельности, они фиксируются в:

  • приказах о приеме на работу, увольнении или переводе на другую должность, о поощрениях и премиях, предоставленных отпусках, о направлении в командировку и др.;
  • личной карточке сотрудника;
  • табеле учета рабочего времени;
  • расчетных и платежных ведомостях;
  • лицевых счетах;
  • других документах.

Хранить, обрабатывать и систематизировать конфиденциальную информацию могут только лица, назначенные руководством, круг которых обычно очень ограничен на любом предприятии. Обрабатывать информацию о физлице можно только с его письменного разрешения, что касается не только конфиденциальных данных, но и любых персональных. Классификация ПД работников обычно хранятся в отделе кадров, некоторые могут находиться в других отделах, которые занимаются их обработкой.

Инфо

Работодателю требуется подготовить первичные документы, составить отчетность, подаваемую в контролирующие органы и Фонды, представить сведения о доходах сотрудников, удержании и перечислении налогов, др. Фактически работодатель действует в рамках закона. Несмотря на это, некоторые руководители перестраховываются и запрашивают у сотрудников разрешения, поскольку федеральный закон не дает четких формулировок по данному вопросу, а ТК его вообще не рассматривает. Но существуют и другие ситуации, например, личные данные сотрудника компании, в том числе и фото, необходимо разместить в интернете, на информационном стенде, в другом общедоступном месте, тогда согласие лучше получить.

Предлагаем ознакомиться:  Ответственность компании за действия работника

Важно

При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать. Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе.

Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.

  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу)
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу
  • семейное положение, ФИО и даты рождения детей

Также определенная информация содержится в резюме соискателя и его анкете.

Получение персональных данных

Все персональные данные сотрудника вы можете получить только от него самого. Если персональные сведения возможно получить только от третьих лиц (например, от его прежнего работодателя), то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных.

Пример получения персональных данных сотрудника от прежнего работодателя

Сотрудница организации Е.В. Иванова устроилась в организацию «Альфа» в феврале 2015 года. В этом же году она ушла в декретный отпуск. В 2016 году сотрудница уходит в отпуск по уходу за ребенком. В связи с тем, что в 2015 году сотрудница была в декретном отпуске, для расчета пособия по уходу за ребенком до 1,5 лет Иванова попросила заменить 2015 год расчетного периода на 2012 год, который она полностью отработала у другого работодателя.

Соответственно, информацией о заработке сотрудницы в 2012 году новый работодатель («Альфа») не располагает.

«Альфа» запросила необходимую информацию у предыдущего работодателя, предварительно уведомив Иванову и получив на это ее письменное согласие.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ.

Получив персональные данные, работодатель не вправе распространять и раскрывать их третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие сотрудника на обработку персональных данных

Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам; 6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);

7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными; 8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;

  • Анкетах или др. формах, которые заполняются при поступлении на работу во время собеседования. К таковым ПД относятся анкетные и биографические.
  • Паспорте или другом документе, удостоверяющем личность, копии которых представляются работодателю.
  • Трудовой книжке, это сведения о трудовом стаже, занимаемых ранее должностях и предыдущих местах работы кандидата.
  • Страховом пенсионном свидетельстве.
  • Документах воинского учета, откуда можно получить информацию о воинской обязанности.
  • Документах об образовании, оттуда можно извлечь информацию о полученной гражданином специальности, наличии квалификации, различных знаний.
  • Личной карточке, заполняемой кадровой службой по ф.
    Т-2.
Предлагаем ознакомиться:  Письмо о задолженности по оплате образец

Персональные данные: готовы ли вы к проверке?

Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:

  • постановление Правительства РФ «Об утверждении…» от 06.07.2008 № 512, которое регламентирует порядок работы с биометрическими персональными данными;
  • приказ Роскомнадзора «Об утверждении…» от 05.09.2013 № 996, определяющий методы обезличивания таких данных.

Необходимость применения конкретных мер для защиты информации определяется пунктами 6 и 7 обозначенных Требований исходя из степени ее важности, а также уровня потенциального вреда гражданам, который может быть нанесен при несанкционированном доступе к таким данным.

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в Положении о работе с персональными данными сотрудников (ст. 87 ТК РФ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ).

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных?

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Персональные данные работника и их обработка

Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия. Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника.

Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения, позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ): То есть, к персональным данным относят:

  • фамилию, имя, отчество, дату и место рождения;
  • сведения об образовании (в том числе послевузовском профессиональном) — номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
  • семейное, социальное и имущественное положение работника;
  • профессию и места работы;
  • любые документы, которые содержат вышеперечисленные данные;
  • документы, содержащие сведения о членах семьи и иных третьих лицах;

и так далее. Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст.

Можно ли размещать данные на корпоративном сайте

Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте?

Как правильноознакомить работников о работе их с персональными данными

Нет, нельзя.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом сказано в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).

Предлагаем ознакомиться:  Когда начисляются алименты после подачи заявления

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. К нему составьте приложение, в котором укажите список сотрудников, согласных (или несогласных) на размещение персональных данных. Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ).

Условие о неразглашении

Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации?

Да, можно.

Персональные данные работника

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Ответственность за разглашение

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для руководителя и главного бухгалтера – от 500 до 1000 руб.;
  • для организации – от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя или главного бухгалтера организации может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Персональные данные работника

В этом случае может наступить один из следующих видов ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
  • арест на срок до четырех месяцев.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового. Данный вид уголовной ответственности будет применяться с 1 января 2014 года (ч. 3 ст. 8 Закона от 7 декабря 2011 г. № 420-ФЗ);
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;
  • арестом на срок до шести месяцев.

Такая ответственность предусмотрена в статье 137 Уголовного кодекса РФ.

Понравилась статья? Поделиться с друзьями:
Юрист онлайн
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock detector