Персональные данные работника, что это и как их использовать

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Защита

Для определения защиты индивидуальной информации работника стоит рассмотреть этот процесс в нескольких аспектах:

  1. Это гарантии, которые закреплены в трудовом праве (перечень норм, за счет которых происходит регулирование отношений относительно личных сведений трудящегося).
  2. Это ряд процессов организационно-правового характера, которые направлены на реализацию законодательных положений и выражающих политики работодателя в этой сфере.
  3. Это обеспечение субъективного права трудящегося на защиту своей личной информации.

Более детально о том, что такое положение о защите персональных данных работника, читайте тут.

  • которая может свободно распространяться;
  • предоставляемую по соглашению сторон, принимающих участие в соответствующих отношениях;
  • которая согласно федеральным законам подлежит предоставлению или распространению;
  • распространение которой в РФ ограничено или запрещено.

Требования к защите

Глава 14 Трудового кодекса предусматривает требования, касающиеся защиты данных. Устанавливается обязанность руководителя во время обработки информации учитывать требования. Целью обработки выступает обеспечение законных положений и содействие человеку в устройстве на работу. Чтобы определить объем сведений, требуется руководствоваться основным законом страны, ТК.

Получение информации допускается только от самого сотрудника. Когда получить ее можно у третьего лица – человек должен заранее сообщить об этом руководству компании. Потребуется подписать согласие. Работодателем не обрабатываются данные, отнесенные к группе специальных. Это сведения об интимной жизни, расе и т. п.

Меры по защите информации принимаются руководством компании. Оплачиваются средствами предприятия. Порядок защиты отражается в законах. Ознакомление сотрудников с документацией, отражающей порядок сбора данных, проводится под подпись.

Установлено, что человек не должен лишаться своих правомочий для того, чтобы сохранить тайну. Выработка мер по защите осуществляется работодателями вместе с сотрудниками. Исключительные ситуации отражаются в законах.


Перечисление мест, где трудился человек, осуществляется в хронологическом порядке. Учитывать нужно период, когда лицо служило в армии. В этот перечень входит номер сотового, электронный адрес. Представляют сведения о документах, в том числе пенсионное свидетельство и ИНН.

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Не ПДнПДн
ivan999@mail.ruФИО: Иванов Иван Иванович, email: ivan999@mail.ru
30% опрошенных женатыИванов Иван Иванович женат

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Персональные данные работников: 5 основных правил по организации, обработке и хранению персональной информации

Что такое персональные данные в организации?

Каждая организация обрабатывает огромный массив информации. Не исключение — сведения о физических лицах. За нарушение законодательства о персональных данных организацию могут оштрафовать, подать в суд и причинить иные неприятности.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ (далее 152-ФЗ) исчерпывающего перечня персональных данных не содержит. Компаниям необходимо исходить из того, что это любые сведения, позволяющие опознать физическое лицо. В разъяснениях федеральных органов встречаются различные трактовки определения ПДн. Так, Министерство экономического развития в своем письме от 02.10.2015 N ОГ-Д28-12951 считает, что к персональным данным работника, помимо личных:

  • фамилии,
  • имени,
  • отчества,
  • даты и места рождения,
  • адреса,
  • семейного положения,

относятся сведения об:

  • образовании,
  • профессии,
  • занимаемой должности,
  • стаже работы.

Роскомнадзор в своем письме от 07.02.2014 N 08КМ-3681 указывает, что персональными данными являются сведения о заработной плате.

Сведения, обрабатываемые организацией разделяются на две основные группы:

  • персональные данные работников организации;
  • персональные данные, попадающие в организацию в связи с ее деятельностью, например, персональные данные клиентов, контрагентов, посетителей сайта организации.

Согласно закону 152-ФЗ: организация, обрабатывающая такие данные самостоятельно или совместно с другими лицами, является — оператором персональных данных. Оператор и иные лица, получившие доступ к ПДн должны обеспечить конфиденциальность данных:

не допустить раскрытия информации и распространения без согласия физического лица — субъекта персональных данных.

Жизненный цикл обработки персональных данных сотрудников в организации

По общему правилу персональные данные обрабатываются с согласия физического лица. (п. 1 ч. 1 ст. 6 152-ФЗ). С момента поступления в организацию каких-либо сведений о физическом лице организация должна предпринять необходимые меры для сохранности и правомерной обработки таких сведений. Согласие на обработку ПДн должно быть конкретным и информированным. Не забывайте прописать в документе:

  • цели обработки ПДн,
  • способы обработки с указанием действий, совершаемых с ПДн,
  • объем обрабатываемых ПДн.

Давая согласие субъект персональных данных обозначает объем и границы обработки сведений для каждого конкретного случая их обработки, а работодатель обязует обрабатывать полученные данные только для целей и в объеме на которые оно получено.

Обязательная письменная форма согласия предусматривается только в случаях, указанных в федеральных законах, например, при обработке специальных категорий персональных данных (ст. 10 закона 152-ФЗ):

  • расовая принадлежность,
  • политические и религиозные взгляды,
  • состояние здоровья.

Если законом не предусмотрена письменная форма согласия, подойдет любая иная форма

  • устная,
  • включение соответствующего пункта в договор и т.д.

Единственное правило: перед началом обработки убедитесь, что для всех категорий обрабатываемых данных получено необходимое согласие работника.

При трудоустройстве, физическое лицо передает работодателю определенный набор документов, содержащих персональные сведения. Исчерпывающего перечня законодательство не содержит, но наиболее стандартный список указан в форме T2 — «личной карточке работника».

Обработка ПДн работника осуществляется в целях:

  • обеспечения соблюдения законов и иных нормативных правовых актов,
  • содействия работникам в трудоустройстве,
  • получении образования,
  • продвижении по службе,
  • обеспечения личной безопасности работников,
  • контроля количества и качества выполняемой работы,
  • обеспечения сохранности имущества.
Читайте также:  Кто может быть материально ответственным лицом и как оформить с ним договор

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Все документы, регламентирующие обработку персональных данных сотрудников, размещаются для ознакомления работниками в открытом доступе. Из приведенных норм можно вывести следующее правило — разработайте и примите локальный нормативный акт, регулирующий сбор, обработку и хранения персональных данных, а также ознакомьте с ним под роспись всех работников.

Работник вправе отозвать согласие об обработке персональных данных, в соответствии с частью 2 статьи 9 закона 152-ФЗ». Может ли в данном случае он продолжить работать на этого работодателя? Согласно этой же части, оператор вправе продолжить обработку персональных данных без согласия субъекта, при наличии оснований, предусмотренных федеральным законом, в том числе и для исполнения договора, стороной которого является субъект ПДн (пункт 5 части 1 статьи 6 152-ФЗ). Таким договором может быть трудовой договор и работодатель вправе продолжить обрабатывать персональные данные работника, без его согласия в целях и объеме необходимых для исполнения указанного договора.

В силу ст. 88 ТК РФ доступ к персональным данным работников должны иметь только специально уполномоченные лица. При этом указанные лица вправе получать только те сведения, которые необходимы для выполнения конкретных функций. Помимо этого, лица, получающие персональные сведения работника, обязаны соблюдать режим конфиденциальности. Ответственные сотрудники должны быть назначены приказом, а документы, определяющие политику в области обработки персональных данных должны быть доступны для всех сотрудников организации. Например, работодатель планирует установить в офисе видеонаблюдение, для этого работодателю необходимо принять акт, регламентирующий порядок видеонаблюдения и назначить ответственных за сбор таких данных. Важно, чтобы ответственные работники были ознакомлены с правилами обработки и хранения персональных данных, принятыми в организации, а также о режиме конфиденциальности, в отношении персональных данных работников. Создание в организации эффективной политики в области сбора, обработки и хранения персональных данных поможет избежать множества негативных последствий для организации.
У вас есть вопросы по разработке ОРД – пишите в комментариях. Мы с радостью на них ответим.

Особенности обработки и защиты персональных данных соискателей и уволенных сотрудников

Помимо персональных данных своих сотрудников в организацию, как правило, попадают множество персональных данных других лиц, например, соискателей. Обработка ПДн соискателя должна осуществляться с его согласия. Из общего правила есть несколько исключений:

  • Интересы потенциальных кандидатов на вакансию представляет кадровое агентство;
  • Кандидат на вакансию разместил свое резюме в открытом доступе.

Если соискатель направляет свое резюме по электронной почте или факсу работодателю рекомендуется установить факт направления резюме соискателем лично. Получать согласие необходимо

  • в случае направления запросов по прежним местам работы,
  • для уточнения или получения дополнительной информации о соискателе.

Если по какой-либо причине соискатель не трудоустраивается, все предоставленные им сведения должны быть уничтожены в течение тридцати дней.

Обработка персональных данных уволенных сотрудников возможна только в определенных законом случаях:

  • документы, необходимые для исчисления, удержания и перечисления налогов хранятся в течение 4-х лет;
  • базы данных отпусков хранятся пять лет;
  • приказы о дисциплинарных взысканиях три года;
  • трудовые договоры хранятся семьдесят пять лет, если делопроизводство по ним закончено 1 января 2003 года и пятьдесят лет, если позже;

Как и в случае с претендентами на вакансию, так и с действующими и уволенными работниками важно обрабатывать персональные данные только в том объеме, в каком это необходимо для целей обработки.

Согласие на передачу персональных данных работника третьим лицам

По общему правилу работодатель не вправе сообщать персональные сведения о работнике третьим лицам, без его согласия. Исключениями являются случаи, предусмотренные трудовым законодательством и иными законодательными актами.

  • передача персональных данных в ПФР или ФСС России (абз. 15 ч. 2 ст. 22 ТК РФ);
  • налоговые органы (ст. 24 НК РФ);
  • при получении мотивированного запроса судебного пристава (ст. 64 ФЗ “Об исполнительном производстве”);
  • заключении договора с провайдером (ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ “О связи”).

Все случаи передачи персональных данных физического лица без его согласия это как правило императивные предписания законодательных актов. Если нормы, предписывающей обязанность передать какие-либо сведения, содержащие персональные данные, нет, то согласие физического лица на передачу его данных придется получить.

Помимо императивных предписаний о раскрытии сведений, содержащих персональные данные, согласие может не требоваться, когда сведения передаются в целях предупреждения угрозы жизни и здоровью работника. Например, работник не появился на рабочем месте и его местонахождение не известно. Работодатель может направить запрос в медицинские организации и органы внутренних дел с указанием информации о работнике и это не будет нарушением правил хранения персональных данных.

При заключении договора зарплатного проекта с кредитной организацией или на выпуск платежных карт для сотрудников работодатель не вправе передавать кредитной организации персональные данные работников. Работник сам даст согласие банку, либо банк включит пункт об обработке персональных данных в договор, подписываемый сотрудником. Аналогично работодатель должен получить согласие всех работников, если в организации кадровый или бухгалтерский учет поручен сторонней организации. Исходя из правил, предусмотренных трудовым законодательством, а также корреспондирующими с ним положениями закона 152-ФЗ работодателю необходимо спрашивать согласие у работника для каждого конкретного случая передачи персональных данных.

Ответственность за нарушения обработки персональных данных в организации

За нарушение требований обработки персональных данных предусмотрены следующие виды ответственности:

  • Дисциплинарная
  • Материальная
  • Административная
  • Уголовная

Дисциплинарная ответственность заключается в том, что сотрудник, имеющий доступ к персональным данным и передавший их, без получения согласия физического лица может быть уволен по инициативе работодателя, как за грубое нарушение работником трудовых обязанностей (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Существенным условием увольнения работника по этому основанию будет раскрытие работником сведений, которые он обязывался не разглашать. (п. 43 Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2). При оспаривании работником увольнения в суде, работодатель должен факт нарушения правил обработки персональных данных сотрудником, уполномоченным на их обработку. Так при рассмотрении дела о восстановлении на работе сотрудника, уволенного за разглашение персональных данных другого сотрудника, суд указал что представление доказательств в порядке ст. 56 ГПК РФ, включающих в себя персональные данные других сотрудников организации, для защиты своих трудовых прав, не свидетельствует о раскрытии работником персональных данных других работников неопределенному кругу лиц в рамках трудового спора. Они лишь свидетельствуют о предоставлении работником доказательств в обоснование своей правовой позиции суду при рассмотрении его исковых требований об оспаривании дисциплинарного взыскания. (Апелляционное определение Московского городского суда от 20.11.2018 по делу N 33-44167/2018)

За нарушение правил обработки персональных данных организацию или должностное лицо могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Составлять протоколы об административном правонарушении уполномочены должностные лица Роскомнадзора, а привлекать к ответственности судьи мировых судов. Срок давности за совершение данного правонарушения составляет три месяца. Должностное лицо, ответственное за обработку персональных данных может быть привлечено к административной ответственности, за не размещение в открытом доступе документа, определяющего политику в отношении персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. (Постановление Тюменского областного суда от 14.11.2017 N 4А-598/2017).

Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена по следующим статьям Уголовного кодекса:

  • Нарушение неприкосновенности частной жизни;
  • Отказ в предоставлении гражданину информации;
  • Неправомерный доступ к компьютерной информации.

Субъектом уголовного преступления может быть только физическое лицо, однако привлечение виновного работника к уголовной ответственности не освобождает от административной ответственности организацию.

Читайте также:  Процесс оформления матпомощи при смерти близкого родственника

Как правило, дело об административном правонарушении возбуждается после проведения уполномоченным органом проверок организации. Инспекторы надзорного органа могут оштрафовать организацию за отсутствие у нее документов, регламентирующих политику в области обработки персональных данных, а также несоответствие таких документов законодательству, осуществление обработки или передачи данных третьим без согласия на то физических лиц субъектов персональных данных.

Если у вас остались вопросы, появились предложения, замечания, наблюдения – не раздумывая, пишите нам в комментариях. Мы с удовольствием решим эту задачу 🙂

Субъектом уголовного преступления может быть только физическое лицо, однако привлечение виновного работника к уголовной ответственности не освобождает от административной ответственности организацию.

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу);
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты;
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу;
  • семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

От 500 000 до 6 млн (в зависимости от правонарушения)

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

Получение персональных данных

Рассмотрим регулирование защиты персональных данных работника в рамках трудовых отношений с работодателем.

Прежде всего следует очертить круг тех документов и баз данных, в которых содержатся персональные данные работников и которые необходимо защищать от несанкционированного доступа. Так как понятие персональных данных включает в себя любую информацию, позволяющую идентифицировать работника, практически все документы, касающиеся сотрудников – как на бумажных носителях, так и электронные, будут ­являться носителями персональных данных.

К документам, содержащим персональные данные работников, можно, например, отнести следующие:

  • анкету, автобиографию, личный листок по учету кадров, которые на практике часто заполняются работником при приеме на работу;
  • копии документов, хранящиеся в личном деле работника: копии документа, удостоверяющего личность, документов воинского учета, документа об обязательном пенсионном страховании, свидетельств о ­заключении ­брака, рождении детей, документов об образовании;
  • трудовую книжку;
  • личную карточку;
  • трудовой договор и дополнительные соглашения к нему;
  • подлинники и копии приказов по личному составу;
  • документы оплаты труда;
  • документы об обучении, оценке, аттестации работников;
  • базы данных, обрабатываемые автоматически (например, таблицы ­Excel, базы программы 1С);
  • иные документы, содержащие персональные данные работников.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). Получаемые персональные данные должны соответствовать только указанным целям.

Запрашивать некоторую информацию прямо запрещено законодательством. Например, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), а также данные работника о его членстве в общественных объединениях или его профсоюзной ­деятельности (п. 4 и 5 ст. 86 ТК РФ).

Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.

При трудоустройстве работника кадровик заполнял личную карточку по форме № Т-2, в которой есть раздел «Состав семьи», и попросил назвать фамилию, имя, отчество жены для внесения этих данных в личную карточку. Работник отказался сообщить данные, заметив при этом, что они не являются необходимыми для его трудоустройства или карьерного продвижения, а форма личной карточки не носит обязательный характер.

Все персональные данные сотрудника следует получать у него самого (п. 3 ст. 86 ТК РФ). Если информацию можно получить только у третьей стороны, то работник должен быть об этом уведомлен заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение. Это положение относится не к работникам, а прежде всего к соискателям, когда организация запрашивает рекомендации с предыдущих мест работ. Получение согласия является обязательным условием при направлении компанией запросов в иные организации, в том числе на прежние места работы, для уточнения или получения дополнительной информации о кандидате. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим, причем не для запроса информации, а для уведомления прежнего ­работодателя в порядке ч. 3 ст. 64.1 ТК РФ.

Роскомнадзор подтвердил необходимость получения согласия соискателей (разъяснения от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее – Разъяснения Роскомнадзора). Делать это не надо только в том случае, если от имени соискателя действует кадровое агентство, с которым данное лицо заключило договор, а также при самостоятельном размещении соискателем резюме в Интернете, доступном неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (например, приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.).

Если сбор персональных данных соискателей осуществляется с использованием анкеты, то она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо об отказе в приеме на работу. Кстати, типовая форма анкеты соискателя может быть доступна на сайте организации, где согласие на обработку персональных данных кандидат подтверждает, проставляя ­отметку в ­соответствующем поле.

Читайте также:  Как составить договор о материальной ответственности главного бухгалтера

Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.

Ответственность за нарушения в сфере персональных данных

Обработка персональных данных без согласия сотрудника (если оно обязательно) влечет ответственность — административный штраф (п. 2 ст. 13.11 КоАП РФ):

  • для граждан — от 3 до 5 тыс. рублей;
  • для должностных лиц — от 10 до 20 тыс. рублей;
  • для организаций — от 15 до 70 тыс. рублей.

Работник, имеющий доступ к персональным сведениям других работников, при разглашении привлекается к следующим видам ответственности (ст. 90 ТК РФ):

О перспективе роста штрафов за разглашение персональных данных в некоторых случаях читайте в нашей статье.

  • для граждан — от 3 до 5 тыс. рублей;
  • для должностных лиц — от 10 до 20 тыс. рублей;
  • для организаций — от 15 до 70 тыс. рублей.

Специальные персональные данные

Это информация о состоянии здоровья, вероисповедании, расе, национальности, политических взглядах конкретного человека. Она может быть обработана только в случае письменного личного согласия гражданина, за исключением случаев оперативно-розыскной деятельности и расследовании уголовных дел.

Мы указываем свои персональные данные, когда меняем паспорт, получаем заграничный паспорт, заполняем налоговые декларации, обращаемся в частные поликлиники, где обязательно подписываем свое согласие на обработку данных и так далее.

Существует ли точный список информации, являющейся персональными данными?

Да, есть строго установленные категории с точным списком данных, которые относят к персональным. Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных.

Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет. Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.


Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 “Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения”. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ “цель” указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Что относится к персональным данным работника?

Любые сведения о гражданине, имеющие к нему прямое или косвенное отношение, считаются персональными данными. Определение этого понятия представлено в 3 статье ФЗ № 152 от 2006 года 27 июля.

Таким образом, к личной информации о человеке относят:

  • адрес его проживания;
  • ФИО;
  • дату рождения;
  • семейное положение;
  • полученное образование;
  • реквизиты паспорта;
  • занимаемую должность (профессию);
  • уровень дохода;
  • наличие какой-либо собственности;
  • социальное положение в обществе;
  • и т. п.

Должностное лицо, из-за которого произошло разглашение личных сведений о сотруднике, привлекаются к административной, дисциплинарной или уголовной ответственности.

Другими словами, под обработкой понимается осуществление любых действий с личной информацией.

Использование, хранение персональных данных работников

Персональные данные (серию и номер паспорта, ФИО и возраст, информацию о месте жительства, детях, стаже, профессиональной деятельности и т.д.) работодатель не может использовать только по своему усмотрению. Его права и обязанности четко регламентированы в ТК РФ (статьях 87, 88, 89) и Положении о работе с персональными данными.

Использование и хранение персональных данных работников (документов, в которых содержатся эти данные) осуществляется согласно Трудовому кодексу и внутреннему распорядку компании.

Добавить комментарий