Обработка персональных данных работодателем
10
3174

Обработка персональных данных работодателем

Обработка персональных данных работодателем Обработка персональных данных работодателем

Содержание:


1. Что относится к персональным данным работника
2. Обработка персональных данных
3. Основные правила обработки персональных данных
4. Согласие работника на обработку персональных данных
5. Изменения в правилах обработки персональных данных с 1 сентября 2022 г.
6. Защита персональных данных работника
7. Хранение и использование персональных данных
8. Риски нарушения требований к обработке персональных данных работников организации

С 1 сентября 2022 года вступили в силу изменения в работе с персональными данными. В данной статье мы разберем, какие новые обязанности и запреты появились у работодателей при обработке персональных данных своих сотрудников.

Что относится к персональным данным работника

Персональные данные работника - это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Когда при заключении трудового договора работодатель запрашивает паспортные данные и другие сведения у работников, тем самым он проводит обработку персональных данных. 

Сбор информации о соискателях, необходимой для принятия решения о вступлении с ними в трудовые отношения, также подпадает под обработку персональных данных. В данных ситуациях работодатель выступает в роли оператора персональных данных.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Основные правила обработки персональных данных

  1. обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей (например, если обработка проводится для трудоустройства работника, подачи сведений в ПФР и другие госорганы или обеспечения сохранности имущества);
  2. обработке подлежат только те персональные данные, которые отвечают целям обработки;

    Не допускается обработка, несовместимая с целями сбора персональных данных. Информацию, которая не относится к таким целям, работодатель получать не вправе. Это правило применяется даже в случае, если сотрудник не против обработки этих данных.
  3. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
  4. персональные данные необходимо получать исключительно у самого сотрудника;
  5. не следует обрабатывать персональные данные, которые относятся к специальным категориям;

    Это сведения, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, а также интимной жизни работника. Также нельзя обрабатывать персданные о членстве сотрудника в общественных организациях и профсоюзе. Для обработки биометрических персональных данных теперь требуется получить у работника письменное согласие (например, когда нужно разместить фотографию сотрудника на корпоративном сайте, вывесить фотографию на доску почёта или оформить пропуск для прохода на территорию).
  6. при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
  7. форма хранения персональных данных должна позволять определять субъекта этих данных;

    Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  8. сотрудники должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных под подпись (п. 8 ст. 86 ТК РФ);
  9. меры по защите персональных данных можно выработать совместно с сотрудниками;

    Выбор мер безопасности, которые помогут защитить персональные данные, зависят от того, каким способом работодатель их обрабатывает (с использованием средств автоматизации или без них).


Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных?
Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Желательно вручить такое уведомление работнику под подпись, чтобы у вас было доказательство, что сотрудник действительно был уведомлен.
Следует убедиться, что работник подписал документ. Тогда при необходимости вы без труда сможете доказать, что работник действительно давал вам согласие на получение своих персональных данных у третьей стороны. 

Изменения в правилах обработки персональных данных с 1 сентября 2022 г.

C 1 сентября 2022 г. работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников, даже если обрабатывают их в целях трудового законодательства. Все работодатели должны проверить, есть ли они в реестре Роскомнадзора. Организациям, еще не включенным в реестр операторов персональных данных, необходимо направить уведомление об обработке персональных данных. Это можно сделать на сайте Роскомнадзора. Организациям, кто уже включен в реестр операторов, не позднее 15 сентября 2022 г. рекомендуется уведомить Роскомнадзор о новой цели обработки персональных данных - обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ в редакции, действующей с 01.09.2022). Уведомление нужно подать разово, чтобы данные работодателя попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.

Были изменены требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно указывать категории персональных данных сотрудника, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ). 

В дальнейшем работодателю также нужно будет сообщать в Роскомнадзор о случаях утечки, либо неправомерной передаче персональных данных сотрудников третьим лицам.

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен. При этом есть обязательный минимум документов, которые должны быть у всех работодателей.

Положение о персональных данных

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. Важно утвердить положение приказом руководителя и ознакомить с ним работников под подпись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Форму положения утверждает сама организация. Определите в документе для каждой цели обработки:

  • категории и перечень персональных данных;
  • категории субъектов персональных данных;
  • способы и сроки обработки и хранения данных;
  • порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю достаточно:

  1. обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
  2. обеспечить сохранность носителей персональных данных;
  3. защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  4. издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Политика обработки персональных данных

Если клиенты регистрируются на сайте организации и оставляют свои персональные данные, то в таком случае политика обработки персональных данных становится обязательным документом. Потребуется разработать и опубликовать на сайте организации документ, который определяет политику в отношении защиты и обработки персональных данных.

Организация должна обеспечить доступ через интернет к сведениям о том, какие меры принимает, чтобы защитить персональные данные (ч. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

В политику обработки персональных данных в том числе включают:

  • основные понятия, которые используют в документе;
  • сведения о цели обработки персональных данных;
  • основания обработки данных;
  • категории обрабатываемых данных и их субъектов;
  • порядок и условия обработки данных;
  • права и обязанности субъектов данных и прочее.

Положение о защите персональных данных

С 1 сентября 2022 г. каждый работодатель обязан разработать и утвердить локальный акт, который определит процедуры по предотвращению, выявлению и устранению последствий нарушения закона о персональных данных.

Меры защиты, которые принимаются, чтобы предотвратить, выявить и устранить нарушения закона о персональных данных, нужно установить в локальном акте организации. Например, в положении о защите персональных данных.

К таким мерам можно отнести, например, установку антивирусных программ или назначение ответственных за защиту персональных данных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персональные данные – вручную или через компьютерные программы.

Приказ о назначении ответственного за обработку персональных данных

Работодатель обязан назначить сотрудника, который будет отвечать за обработку персональных данных (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Чаще всего для этой роли выбирают сотрудника кадровой службы организации. Для этого необходимо издать соответствующий приказ. Скачайте образец приказа.

При этом ответственным за обработку персональных данных в компании может быть только один человек. Будет считаться нарушением назначение ответственным за персональные данные сотрудников кадрового специалиста, а за данные клиентов компании, например, начальника отдела продаж. Организация за такое нарушение будет оштрафована. Информацию об ответственном нужно не забыть подать в реестр Роскомнадзора.

Приказ о назначении ответственного за обработку персональных данных составляется по форме, которую разрабатывает организация и отдается ему на подпись. В приказе необходимо прописать обязанности лица, ответственного за организацию обработки персональных данных:

  • проведение внутреннего контроля за тем, как работодатель и другие сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
  • доведение до сведения сотрудников организации положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите;
  • организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, контроль приема и обработки таких обращений и запросов.

В законе предусмотрена возможность работодателя поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести сам работодатель. Лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы ответственный мог выполнять свои обязанности, работодатель обязан передать ему необходимые сведения. К ним относятся:

  • наименование, адрес работодателя;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатывают;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание способов обработки данных;
  • описание мер по обработке данных, в том числе сведения о шифровальных средствах и др.

Обязательство о неразглашении персональных данных

Работодатель должен обеспечить защиту персональных данных сотрудников от их неправомерного использования или утраты. С сотрудниками, которые имеют доступ к персональным данным, нужно оформить обязательство об их неразглашении. При этом привлечь к ответственности за неразглашение таких данных можно в случае, если они стали известны им в связи с исполнением трудовых обязанностей и работники обязались не разглашать такие сведения (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Условие о неразглашении закрепляется в дополнительном соглашении к трудовому договору.

Документы внутреннего контроля

При возможной проверке инспекторы могут поинтересоваться, есть ли у организации документы внутреннего контроля. Поэтому нужно заранее озаботиться разработкой документов внутреннего контроля обработки персональных данных. Например, это могут быть протоколы, планы внутреннего аудита, правила внутреннего контроля, а также материалы проверочных мероприятий.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Журналы учета персональных данных

Работодатель обязан соблюдать режим конфиденциальности персональных данных своих сотрудников. Следует ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников. Не лишним также будет вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов, срок пользования, цели выдачи, наименование выдаваемых документов. Лицо, которое возвращает документ, должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных, требования к оборудованию, определить состав работников, имеющих право доступа в данные помещения.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • - на граждан - от 500 до 1 000 руб.;
  • - на должностных лиц - от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • - на граждан - от 6 до 10 тыс. руб., повторное нарушение - от 10 до 20 тыс. руб.;
  • - должностных лиц - от 20 до 40 тыс. руб., повторное нарушение - от 40 до 100 тыс. руб.;
  • - юридических лиц - от 30 до 150 тыс. руб., повторное нарушение - от 300 до 500 тыс. руб.

Такие же меры предусмотрены ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

При этом если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности по ч. 2 ст. 137 УК РФ, которой предусмотрено лишение свободы на срок до четырех лет.



Хотите получать статьи из нашего Блога? Обещаем - никакого спама
УСЛУГИ
Внедрение CRM Битрикс24
Консультация по бухгалтерскому учету
Когда нужно получить ответы на сложные вопросы простым языком.
Регистрация бизнеса
Зарегистрируем ООО или ИП так, чтобы все было идеально с самого начала
Удаленная бухгалтерия для ООО
Полноценный бухгалтер, который сидит в нашем офисе, но работает на Вас
Восстановление бухгалтерского учета
Когда учет в Вашей компании не велся или велся не должным образом
Ведение бухгалтерского учета
Вы готовите первичные документы и платежки, мы ведем учет и сдаем отчетность
Перерегистрация ООО или ИП
Сменим директора, адрес или ОКВЭДы быстро и под ключ
Аутсорсинг управленческого учета
Удаленный финансовый директор для Вашего бизнеса по доступной цене
Подготовка и сдача отчетности
Когда нужно сдать отчетность в целом за период или какую-то конкретную декларацию
Бухгалтерское сопровождение
Мы выписываем документы и готовим платежки по Вашему запросу, а также ведем учет и сдаем отчетность
Ликвидация бизнеса
Ликвидируем Ваше ООО или ИП с такой скоростью, что налоговая не успеет опомниться
Онлайн бухгалтерия для ИП
Бухгалтер с широкими компетенциями, который не только умеет умножать доход на 6%
Аутсорсинг зарплаты и кадров
Когда хочется делегировать профильным специалистам самый трудоемкий участок учета
Бухгалтерский аутсорсинг
Мы не только готовим документы и платежки, ведем учет и сдаем отчетность, но и пишем деловые письма, запрашиваем акты сверок и недостающую первичку
Оцените на деле,
а не на словах
14-дневный тестовый период бухгалтерского сопровождения -
это возможность начать пользоваться бухгалтерскими услугами без предварительной оплаты и право отказаться от дальнейшей оплаты в течение 14 дней после начала пользования услугами, если вдруг Вам что-то не понравилось
%