Работодатель может предоставить работнику доступ к персональным данным на возмездной основе его

Обновлено: 18.05.2024

Что относится к персональным данным

Статья 3 Закона №152-ФЗ говорит, что персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это следующая информация о лице:

  • Ф. И. О.;
  • пол;
  • дата рождения;
  • место рождения;
  • фотография или видеозапись, которая позволяет установить личность;
  • адрес;
  • семейное положение, информация о детях и родственниках;
  • образование, квалификация, сведения о повышении квалификации;
  • профессия;
  • факты биографии и трудовой деятельности;
  • доходы,сведения о зарплате;
  • деловые и иные личные качества.

Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами. Персональные данные нужны работодателю для оформления и поддержания трудовых отношений (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:

  • анкета, автобиография заполненная при приеме на работу;
  • трудовой договор;
  • документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
  • личная карточка № Т-2;
  • трудовая книжка и сведения о трудовой деятельности (СТД-Р, СТД-ПФР, СЗВ-ТД);
  • свидетельства о браке, о рождении детей;
  • СНИЛС;
  • военный билет;
  • документ об образовании;
  • ИНН;
  • водительское удостоверение;
  • медицинская книжка (если требуется);
  • справка о доходах с прошлого места работы.

Важно! Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).

Обработка персональных данных сотрудника

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т. д. Во время обработки соблюдайте требования ст. 5 Закона о персональных данных:

  • у обработки должны быть конкретные и законные цель и основание;
  • нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
  • обрабатывать можно только те данные, которые соответствуют цели обработки;
  • форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия;
  • персональные сведения передает сам гражданин.

Работодатель должен действовать в целях соблюдения законов и других нормативных актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения безопасности, контроля работы, сохранности имущества компании. Работодатель имеет право получать персональные данные только у работника, если же их можно получать от третьих лиц, необходимо уведомить работника и получить его письменное согласие.

Работодатель обязан обеспечить защиту персональных данных, поэтому в локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

С 1 сентября 2021 года появились требования к согласию на обработку персональных данных, разрешенных для распространения. Оно должно содержать следующую информацию (Приказ Роскомнадзора от 24.02.2021 № 18):

  • Ф.И.О. субъекта;
  • контактная информация;
  • сведения об операторе (организации, физлице, ИП);
  • сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дано согласие;
  • категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
  • условия передачи полученных персональных данных;
  • срок действия согласия на обработку.

Это согласие нужно именно работодателю, так как в случае спора он обязан доказать, что имел согласие на обработку. Например, оно точно потребуется при получении данных работника у третьей стороны, при передаче его персональных данных третьим лицам для предупреждения угрозы жизни и здоровью и пр., для обработки специальных категорий данных.

Категории персональных данных

По Методическим рекомендациям Роскомнадзора все категории персональных данных делятся на три:

Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это Ф.И.О., дата рождения, адрес, номер телефона, семейное положение, прежнее место работы и т.д.

Специальная категория — раса и нация, политические взгляды, религия, состояние здоровья, интимная жизнь.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность.

Хранение и использование данных о персонале


Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ).

Документы по сотрудникам рекомендуется не объединять в личное дело. Так как позиции Роскомнадзора и судов не однозначные — личные дела считают избыточным по отношению к заявленным целям обработки.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  • известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
  • передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  • доступ к данным получают только специально уполномоченные лица;
  • запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Ответственность за нарушение правил работы с личной информацией

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

Работодателя могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Так, за обработку персональных данных без письменного согласия работника или с нарушением требований к нему будет наложен штраф:

Категория Первое нарушение Повторное нарушение
Гражданин 6 000 - 10 000 рублей 10 000 - 20 000 рублей
Должностное лицо 20 000 - 40 000 рублей 40 000 - 100 000 рублей
ИП 100 000 - 300 000 рублей
Юридическое лицо 30 000 - 150 000 рублей 300 000 - 500 000 рублей

Для работников, имеющих доступ к персональным данным, предусмотрены различные виды ответственности за их разглашение:

  • Кдисциплинарной ответственности относятся замечание, выговор, увольнение.
  • К административной ответственности относится штраф: для граждан — 500-1000 рублей, для должностных лиц — 4000-5000 рублей,
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
  • Гражданско-правовая ответственность также накладывается за причинение морального вреда гражданину, чьи права были нарушены. На нарушителя может быть наложена обязанность компенсации вреда по ст. 151, 152 ГК РФ.
  • Уголовная ответственность по ст. 137 УК РФ за незаконное собирание и распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей или в размере зарплаты за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо принудительные работы на срок до двух лет, либо арест до 4 месяцев или лишение свободы на срок до двух лет.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Персональные данные: требования законодательства и ответственность за его несоблюдение.

Несмотря на то, что требования законодательства о защите персональных данных работников установлены довольно давно и речь об этом идет постоянно, правила все же нарушаются и работники по-прежнему обращаются в суд с исками к работодателям. Суд не всегда встает на сторону истцов, но работодателю лучше изначально не допускать повода для судебных разбирательств. Тем более что скоро ответственность за нарушение порядка сбора, хранения и распространения персональных данных значительно ужесточится. Сегодня напомним, что относится к таким данным, какие обязанности по их защите установлены для работодателей и какой будет ответственность в этой сфере с июля 2017 года.

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • деловые и иные личные качества, которые носят оценочный характер;
  • сведения о заработной плате;
  • прочие сведения, которые могут идентифицировать человека.

К сведению:

После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, детей, родителей).

Документов, содержащих персональные данные, довольно много, начиная с анкет, заполняемых при трудоустройстве, паспорта, документов об образовании, трудовой книжки, паспорта и заканчивая свидетельствами о заключении брака, рождении детей, медицинскими справками и т. д.

В соответствии со ст. 86 ТК РФ при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Обработка персональных данных работников.

Работодатель обязан соблюдать определенные требования по обработке этих данных.

Обработка персональных данных в силу ст. 3 Закона № 152-ФЗ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

Обратите внимание:

Обработка персональных данных осуществляется с согласия работника (п. 1 ст. 6, ст. 9 Закона № 152-ФЗ). Причем согласие должно быть конкретным, информированным и сознательным и составленным в письменной форме.

Основные требования к работодателю, осуществляющему обработку персональных данных работников, установлены в ст. 86 ТК РФ. И самое первое заключается в том, что такая обработка может осуществляться работодателем исключительно в целях:

  • обеспечения соблюдения законов и иных нормативных правовых актов;
  • содействия работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечения личной безопасности работников, контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества.

При обработке персональных данных работодатель

Получать персональные данные у самого работника. Если их можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие

Получать и обрабатывать сведения о работнике, относящиеся в соответствии со ст. 10 Закона № 152-ФЗ к специальным категориям персональных данных

За счет своих средств обеспечивать защиту персональных данных работника от неправомерного их использования или утраты

Получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности

Ознакомить работников и их представителей под подпись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

При принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронным путем

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов, в частности Закона № 152-ФЗ.

Передача персональных данных работников.

Итак, одно из самых главных правил при обработке персональных данных – работодатель сразу при трудоустройстве работника должен запросить у него письменное согласие на такую обработку. Причем следует запрашивать согласие и лиц, которые только еще претендуют на должность и также предоставляют свои персональные данные при собеседовании, заполнении анкет и других подобных документов.

Особое внимание следует уделять и передаче персональных данных работников третьим лицам. Ее правила установлены в ст. 88 ТК РФ. В частности, работодатель обязан:

  • не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, что данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.

К случаям, когда согласие работника на передачу персональных данных не требуется, относится передача определенных сведений о работнике в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, банк, обслуживающий банковские карты работников, и др.

Права работников.

Отдельная ст. 89 ТК РФ посвящена правам работников в целях обеспечения защиты их персональных данных, хранящихся у работодателя. В частности, работники имеют право:

  • на полную информацию об их персональных данных и обработке этих данных;
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных ст. 14 Закона № 152-ФЗ;
  • на определение своих представителей для защиты своих персональных данных;
  • на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору.

Кроме этого, работники имеют право требовать:

Есть у работников и некоторые обязанности. В частности, в соответствии со ст. 88 ТК РФ сотрудник не должен отказываться от прав на сохранение и защиту тайны, а также должен вместе с работодателем вырабатывать меры защиты своих персональных данных.

Ответственность работодателя.

В силу ст. 90 ТК РФ лица, виновные в нарушении положений законодательства РФ при обработке персональных данных работника, привлекаются:

2. К материальной ответственностив порядке, установленном Трудовым кодексом, а также к гражданско-правовой согласно ГК РФ, на основании искового производства. В частности, работнику возмещается причиненный имущественный ущерб, убытки и моральный вред.

3.К административной ответственности.

Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Штраф, налагаемый на должностных лиц в размере от 1 000 до 3 000 руб.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Предупреждение или штраф: для должностных лиц – от 500 до 1 000 руб., для юридических – от 5 000 до 10 000 руб.

Разглашение информации, доступ к которой ограничен федеральным законом (если ее разглашение не влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП РФ

Штраф, налагаемый на должностных лиц от 4 000 до 5 000 руб.

Согласно ст. 23 Закона № 152-ФЗ органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона № 152-ФЗ и нормативных правовых актов, являетсяФедеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

При этом дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ, возбуждают прокуроры.

4. К уголовной ответственности:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);
  • за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 ТК РФ);
  • за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее уничтожение, блокирование, модификацию либо копирование (ст. 272 УК РФ).

Административная ответственность с 1 июля.

По сравнению с действующей редакцией, вместо одного общего состава правонарушения установлено семь самостоятельных составов. Значительно увеличился размер штрафа. И сделано еще одно серьезное изменение: привлекатьк административной ответственности по ст. 13.11 КоАП РФ с 1 июля будут не прокуроры, а должностные лицаРоспотребнадзора.

А теперь рассмотрим, за что и в каком размере смогут оштрафовать работодателей в случае нарушения ими законодательства о персональных данных работников в соответствии со ст. 13.11.

Часть 1.Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 5 000до 10 000 руб.;
  • на юридических лиц – от 30 000 до 50 000 руб.

Часть 2.Обработка персональных данных без письменного согласия субъекта на обработку его данных в случаях, когда согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку егоданных, влечет наложение штрафа:

  • на должностных лиц – от 10 000 до 20 000 руб.;
  • на юридических лиц – от 15 000 до 75 000 руб.

Часть 3. Невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 3 000 до 6 000 руб.;
  • на юридических лиц – от 15 000 до 30 000 руб.

Часть 4. Невыполнение оператором персональных данных обязанности по предоставлению их субъекту информации, касающейся обработки его персональных данных, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 4 000 до 6 000 руб.;
  • на юридических лиц – от 20 000 до 40 000 руб.

Часть 5. Невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 45 000 руб.

Часть 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении их материальных носителей и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:

  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 50 000 руб.

Часть 7. Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию данных влечет предупреждение или наложение на должностных лиц штрафа в размере от 3 000до 6 000 руб.

В заключение рекомендуем работодателям еще раз проверить, пока изменения не вступили в силу, от всех ли работников получено согласие на обработку персональных данных, ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области, должным ли образом осуществляется хранение и защита персональных данных, соответствует ли документация об их обработкетребованиям законодательства и т. д.

Причем привлечь к административной ответственности могут за нарушения, допущенные при обработке и передаче персональныхданных не только работников, но и граждан, которым организация оказывает различные услуги. Как работники, так иэти лица могут обратитьсяв суд с гражданским иском.

Также не следует забывать, что в случаях, когда действия должностных лиц принарушении в обработке персональных данных привели к серьезным последствиям, может наступить и уголовная ответственность.

Если у вас есть сотрудники — вы автоматически становитесь оператором персональных данных, а значит должны соблюдать правила работы с ними. Вполне возможно, что о некоторых из них вы даже не подозревали. Почитайте статью, чтобы знать и избежать штрафов.

Что такое персональные данные

Это любые факты, события, обстоятельства жизни и другая информация, благодаря которым можно идентифицировать личность физлица.

Точного перечня персональных данных нет. Что в него включать, зависит от ситуации. В частности, к персональным данным работника относятся:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации и фактического проживания;
  • номер телефона;
  • национальность;
  • семейное положение;
  • сведения о детях, родственниках;
  • социальное, имущественное положение;
  • образование, профподготовка, повышение квалификации;
  • профессия, специальность;
  • доходы;
  • состояние здоровья;
  • информация о судимости;
  • сведения о предыдущем месте работы: должность, зарплата и т. д.;
  • политические и религиозные взгляды и др.

По отдельности эти сведения не будут персональными данными. Например, адрес без ФИО проживающего. Или номер телефона, если непонятно, чей он. Персональными они становятся, когда по этим данным можно прямо или косвенно определить конкретного человека.

Не относится к персональным данным ИНН. Минфин объясняет , что он нужен только для учёта налогоплательщиков внутри налоговой системы и для ускорения обработки большого потока информации.

Документы, которые содержат персональные данные работников:

  • трудовой договор и допсоглашения к нему;
  • приказы о приёме на работу, о переводе, о совмещении, об отпуске, о премировании, об увольнении и т. д.;
  • документы по аттестации работника;
  • трудовая книжка;
  • личное дело;
  • график отпусков;
  • расчётный листок;
  • зарплатная ведомость;
  • копии паспорта, документа об образовании, военного билета;
  • личная карточка и др.

Такие документы работодатели обязаны вести и хранить по особым правилам.

Как работать с персональными данными

Основные документы, которыми нужно руководствоваться в работе с персональными данными — это закон № 152-ФЗ и глава 14 ТК РФ .

Что такое обработка персональных данных и как её вести

Обработкой персональных данных считаются любые действия, которые с ними можно произвести вручную или с помощью программ и сервисов:

  • сбор;
  • передача
  • запись;
  • хранение;
  • изменение;
  • распространение (неограниченному кругу лиц);
  • предоставление (конкретным лицам);
  • анализ;
  • удаление и т. д.

Организация или ИП, у которых есть работники, считаются операторами персональных данных, так как получают и обрабатывают информацию о физлицах.

В некоторых случаях обработку нельзя сделать без ведома Роскомнадзора ( ч. 1 ст. 22 Закона № 152-ФЗ ). В частности, если работодатель:

  1. Получает любую дополнительную информацию о сотрудниках, которую не обязывает собирать ТК РФ. Например, их фотографии.
  2. Ведёт обработку не только в рамках трудовых отношений. Например, подаёт данные сотрудников в страховую компанию для оформления полисов ДМС или устанавливает видеонаблюдение на рабочих местах.

Если работодатель обрабатывает информацию только в рамках трудовых отношений, никаких уведомлений не нужно.

Положение о работе с персональными данными

Всем работодателям нужно составить локальный нормативный акт — положение о работе с персональными данными. Установленной формы нет, но обычно в нём несколько разделов:

  • общие положения — цель документа;
  • основные понятия — расшифровки терминов, которые фигурируют в документе (обработка, распространение и т. д.);
  • состав персональных данных — какая информация к ним относится, список документов, в которых она содержится;
  • правила получения, обработки, передачи, хранения и использования персональных данных;
  • список сотрудников, у которых есть допуск к таким данным;
  • порядок хранения — где и как хранятся персональные данные, меры по защите;
  • ответственность за нарушение правил работы с персональными данными;
  • заключительные положения — с какой даты вводится в действие, кто назначен ответственным.

Формулировки можно брать из Закона № 152-ФЗ . Внизу, на последнем листе расписывается сотрудник, составивший документ. Чаще всего это специалист по кадрам.

Положение утверждает руководитель организации, ИП или уполномоченный сотрудник. До утверждения документ могут согласовать другие заинтересованные работники (например, руководитель отдела кадров или юрист), если такой порядок принят у работодателя.

С положением нужно ознакомить всех работников под подпись. Это можно сделать:

  • на отдельном листе ознакомления и подшить его к положению;
  • в специальном журнале ознакомления с локальными нормативными актами работодателя;
  • на последнем листе второго экземпляра трудового договора, который будет храниться у работодателя.

Если работник отказывается ознакомиться с положением о работе с персональными данными, оформите акт об отказе. Это будет подтверждением того, что вы выполнили свои обязанности и убережёт от претензий проверяющих.

Когда нужно согласие на обработку персональных данных и как его оформить

Не всегда нужно получать письменное согласие работника на обработку его персональных данных. Например, оно не потребуется для:

  • оформления и исполнения трудового договора;
  • заполнения личной карточки и других кадровых документов;
  • передачи в органы статистики при условии, что данные обезличены, то есть их нельзя отнести к конкретному физлицу;
  • передачи в налоговую инспекцию, соцстрах, пенсионный фонд, военкомат — по их запросам или в составе отчётности;
  • внесения в специальный реестр ЕСИА информации о корпоративных сим-картах сотрудников;
  • передачи по запросу в прокуратуру, МВД, ФСБ и в другие ведомства, которым разрешено запрашивать информацию о работниках.

Подтверждение — ст. 86 , 88 ТК РФ, п. 2 ч. 1 ст. 6 закона № 152-ФЗ., п. 2 ст. 44 закона № 126-ФЗ и т. д.

Взять согласие на обработку нужно, если вам понадобилось больше информации о работнике, чем установлено в ТК РФ или при передаче данных третьим лицам. Например, когда:

  1. Вы хотите запросить сведения о жилищных условиях работника, чтобы понимать, в каком жилье он нуждается. Это бывает нужно, когда в трудовом договоре есть дополнительное условие о предоставлении квартиры для проживания на время исполнения трудовых обязанностей.
  2. Вы передаёте кадровое делопроизводство или бухучёт на аутсорсинг.
  3. Вам нужна фотография работника на пропуск для прохода на рабочее место.
  4. Вы хотите разместить персональные данные работника на корпоративном сайте, например, его фото, должность, сведения об образовании и т. д.

В согласии на обработку персональных данных нужно прописать ( п. 4 ст. 9 закона № 152-ФЗ ):

  • ФИО и адрес работника;
  • серию и номер паспорта, дату выдачи и кем выдан;
  • наименование или ФИО работодателя, его адрес;
  • для какой цели понадобилось согласие;
  • список информации для обработки;
  • какие действия будут производиться с этими данными;
  • способы обработки;
  • срок действия согласия и как его отозвать.

Согласие можно оформлять на бумаге с собственноручной подписью работника или в виде электронного документа, подписанного ЭП.

Когда вы публикуете в интернете информацию о работниках — это распространение персональных данных неограниченному кругу лиц. В этом случае надо получить отдельное согласие — на распространение. Его оформляют с учётом требований Роскомнадзора и ст. 10.1 закона № 152-ФЗ .

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

  • Ф. И. О.;
  • контакты (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Читайте также: