+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Персональные данные работника: что можно делать без согласия работника, а что нельзя

Содержание

Персональные данные работника: что можно делать без согласия работника, а что нельзя

Персональные данные работника: что можно делать без согласия работника, а что нельзя

Одной из обязанностей работодателя является обеспечение сохранности и конфиденциальности персональных данных работника, их обработка на законной и справедливой основе. Читайте в статье, что относится к таким данным и какие требования закон предъявляет к работодателю.

По общему правилу обработка персональных данных работника должна осуществляться при наличии согласия работника на такую обработку. Однако в ряде случаев закон позволяет работодателю обрабатывать персональные данные работника без его согласия.

В связи с этим очень часто у работодателя возникают сложности с определением, какие сведения о работнике являются персональными данными, а какие нет, в каких случаях нужно получать согласие работника, а когда можно обойтись и без него. Учитывая ужесточение с 1 июля 2017 г.

ответственности за нарушение законодательства в области персональных данных, предлагаем вам цикл статей, которые познакомят работодателя с основными требованиями, касающимися обработки персональных данных, и позволят избежать многих ошибок, совершаемыми при работе с такими данными.

Что понимается под персональными данными работника

Согласно п. 1 ст. 3 Федерального закона от 27.07.2016 г. № 152-ФЗ «О персональных данных» персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные могут быть общими (фамилия, имя, паспортные данные, номер телефона, адрес), специальными (сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни) и биометрическими (сведения, которые характеризуют физиологические и биологические особенности человека: (рост, вес), либо закрепляют совокупность этих сведений с помощью технологических средств: фотография, видеозапись). В рамках трудовых отношений работодатель получает доступ ко всем категориям персональных данных работника.

Осуществляя обработку персональных данных работника, работодатель выступает в качестве оператора персональных данных и несет ответственность за соблюдение требований закона при их обработке.

Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Трудовой кодекс РФ наделяет работодателя и работника определенными правами и обязанностями при обработке персональных данных работника.

Работодатель обязан запрашивать согласие на обработку персональных данных работника

Работодатель обязан:

  1. Осуществлять обработку персональных данных работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  2. Все персональные данные работника получать у него самого. Если данные возможно получить только у третьей стороны, то от работника должно быть получено письменное согласие.
  3. Обеспечивать защиту персональных данных работника от неправомерного их использования или утраты.
  4. Ознакомить работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных.
  5. Привлекать работников к совместной выработке мер защиты персональных данных.
  6. При передаче персональных данных соблюдать следующие требования:
  • не сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным только специально уполномоченным лицам, которые должны иметь право получать только те данные, которые необходимы для выполнения конкретных функций.

Работник вправе обратиться в суд, если компания нарушает правила обработки персональных данных

Работник имеет право:

  1. Получать полную информацию о своих персональных данных и их обработке.
  2. Получать свободный бесплатный доступ к своим персональным данным, за исключением случаев, предусмотренных законом.
  3. Получать доступ к медицинской документации, отражающей состояние здоровья работника, с помощью медицинского работника по выбору работника.
  4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона.
  5. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке персональных данных работника.

Таким образом, в этой статье мы  постарались определить, какая информация о работнике относится к персональным данным, а также рассмотрели обязанности, которые законодатель возлагает на работодателя при работе с ними.

Важно отметить, что сведения о работнике приобретают статус персональных данных лишь в своей совокупности, поскольку именно тогда они позволяют персонализировать конкретного работника.

В результате фамилия или имя сами по себе не могут идентифицировать работника как личность; персонализация работника возможна лишь при одновременном использовании нескольких данных о нем.

Например, фамилия «Иванов» не позволяет нам идентифицировать работника и поэтому такие сведения не являются персональными данными, но «Иванов Иван Иванович, 1956 г. р.» вполне конкретно указывают на конкретного работника, и поэтому такая информация относится к персональным данным.

В результате представляется крайне важным правильно классифицировать ту информацию о работнике, которая имеется у вас в организации, чтобы верно определить сведения, относящиеся к персональным данным.

О нюансах в области обработки персональных данных работника, с которыми может столкнуться работодатель, мы поговорим в следующих статьях.

Источник: https://www.tspor.ru/article/2330-personalnye-dannye-rabotnika-chto-mojno-delat-bez-soglasiya-rabotnika-a-chto-nelzya

За персональные данные теперь штрафуют строже. Что важно проверить

Персональные данные работника: что можно делать без согласия работника, а что нельзя

С 1 июля 2017 года за неправильную работу с персональными данными работодателя будут штрафовать на 75 000 рублей. У Роскомнадзора теперь есть семь оснований для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей (ст. 13.11, п. 58 ч.

2 ст. 28.3 КоАП РФ). Раньше штрафы применяла прокуратура. Чтобы у директора не было нареканий к кадрам по поводу сохранности персональных данных, проверьте себя на предмет ошибок в работе с помощью нашего теста. Ваши ответы покажут, какими суммами может рисковать компания.

 

Когда нужно получать у работников согласие на обработку персональных данных

Проверяющие выяснят, получала ли кадровая служба согласие работника на обработку данных в случаях, когда оно требуется. Не всем понятно, когда согласие предполагается по умолчанию, а когда нужен письменный документ.

Пояснения. Поскольку сотрудник выступает стороной трудового договора, получать у него согласие на обработку персональных данных не обязательно. Но собирать информацию о сотруднике работодатель может строго в ситуациях, указанных в законе, коллективном договоре и локальных актах (п. 2, 5 ч. 1 ст.

6 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14 декабря 2012 г., далее – Разъяснения). Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил: 
– по результатам обязательного предварительного медосмотра (ст. 69 ТК РФ, п.

3 Разъяснений);
– из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК РФ);
– от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
– из резюме кандидата, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст.

6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, предусмотренном личной карточкой формы № Т-2. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Чтобы узнать дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется согласие. Ведь если такие сведения отсутствуют, это не мешает исполнять трудовой договор.

Поэтому, чтобы исключить спорные ситуации, рекомендуем все же при приеме на работу получить у сотрудника письменное согласие на обработку данных и включить в него информацию, которая нужна для эффективного взаимодействия с работодателем.

Пояснения. Чтобы изготовить пропуск, получите письменное согласие работника использовать его фотографию. В этом случае фото нужно, чтобы идентифицировать человека, а значит, оно относится к биометрическим персональным данным.

Их можно обрабатывать только с письменного согласия работника (ч. 1 ст. 11 Закона № 152-ФЗ).

Поэтому, если организация применяет пропускную систему и оформляет электронные пропуска, по которым можно установить личность, она должна заручиться письменным согласием каждого сотрудника на обработку фотографии1.

Если письменное согласие не получить, Роскомнадзор выдаст предписание (постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/2013).

За обработку биометрических персональных данных без письменного согласия работодателю как минимум сделают предупреждение или оштрафуют.

Для должностных лиц штраф может составить от 10 000 до 20 000 рублей, для организаций – от 15 000 до 75 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

Как хранить в кадровой службе документы, содержащие персональные данные

Много вопросов вызывает хранение личных документов работников в кадровой службе организации. Разберемся, какие есть ограничения и нужно ли проставлять на документах с персональными данными специальные грифы.

Пояснения. Работодатель нарушает закон, если собирает и хранит лишние данные о сотрудниках. Роскомнадзор может обязать компанию устранить нарушение, а с 1 июля 2017 года – объявить предупреждение или оштрафовать.

За это нарушение закон предусматривает наказание в виде предупреждения или штрафа. Для должностных лиц штраф может составить от 5000 до 10 000 рублей, для организаций – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Работодатель вправе собирать только те данные о сотруднике, которые нужны, чтобы исполнять трудовой договор или закон. Нельзя обрабатывать лишнюю информацию «на всякий случай» (п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ).

Установить личность соискателя при приеме на работу можно, если он предъявит паспорт (ст. 65 ТК РФ).

Чтобы заполнить титульный лист трудовой книжки или личную карточку, достаточно попросить работника показать свидетельство о заключении или расторжении брака, рождении ребенка, военный билет и т. п.

Закон не требует, чтобы работодатель оставлял копии личных документов сотрудников у себя.

Если кадровая служба хранит копии паспорта, страниц военного билета, свидетельств, то Роскомнадзор признает, что она обрабатывает избыточные персональные данные и нарушает права сотрудника.

Суды в таких спорах поддерживают надзорный орган (постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013).

Чтобы избежать претензий Роскомнадзора, уничтожьте копии паспортов и иных документов сотрудников, хранить которые в компании закон не требует. Если понадобится уточнить какие-то сведения, попросите сотрудника показать оригинал документа.

Пояснения. Проставлять на папках с документами, которые содержат персональные данные, гриф ограничения доступа к документу не обязательно. Закон не устанавливает такого требования.

Работодатель должен исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях, то есть личным делам, трудовым книжкам, приказам и прочей кадровой документации (ч. 1 ст.

9 Закона № 152-ФЗ). Конкретные меры защиты и требования к местам хранения носителей персональных данных компания определяет самостоятельно в положении о защите персональных данных (п.

13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Обычно документы на бумажных носителях хранят в сейфах или металлических несгораемых шкафах с замками либо специально оборудованных помещениях. Доступ к документам должны иметь только сотрудники, включенные в перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ.

Кого можно привлечь к ответственности за разглашение персональных данных

Все кадровики имеют дело с персональными данными. Но доступ к ним могут иметь и другие сотрудники организации. Выясним, как утвердить список таких работников и кого можно уволить за разглашение персональных данных.

Скачать и распечатать образец

Пояснения. Работодатель должен приказом утвердить перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться персональные данные2 (образец выше). Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.

В перечне нужно указать Ф.И.О. конкретных работников, а не список должностей. Если сотрудник уволится, в перечень вносят изменения.

Если перечень лиц, которые обрабатывают персональные данные, отсутствует или в нем указаны не Ф.И.О.

работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. по делу № А44-5910/2012).

Пояснения. Уборщицу нельзя уволить по инициативе работодателя за разглашение персональных данных других сотрудников, так как о размере зарплат она узнала не в связи со своими обязанностями. Функционал уборщицы не предполагает работы с персональными данными, и она не подписывает обязательство их не разглашать.

Сотрудника, который разгласил персональные данные другого работника, можно уволить по инициативе работодателя (подп. «в» п. 6 ч. первой ст. 81 ТК РФ). Но это допустимо, если одновременно выполняются два условия (п. 7 ст. 86 ТК РФ, п.

43 постановления Пленума Верховного суда РФ от 17 марта 2004 г. № 2):– такие сведения работник получил в связи с исполнением им трудовых обязанностей;

– сотрудник подписал обязательство о неразглашении персональных данных (образец ниже).

Скачать и распечатать образец

1. Если вы обрабатываете только те данные, которые нужны для исполнения трудового договора, это законно и без согласия сотрудника. Однако возможны споры о составе таких данных, поэтому безопаснее заручиться согласием сотрудника в письменном виде.

2. Не храните в кадровой службе копии паспортов и иных документов сотрудников. Чтобы уточнить какую-то информацию, просите сотрудника показать необходимый документ.

3. Утвердите перечень работников, которые обрабатывают персональные данные, и получите у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.

Источник: https://e.kdelo.ru/569455

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Персональные данные работника: что можно делать без согласия работника, а что нельзя

Что такое персональные данные?
Как избежать претензий со стороны контролирующих органов и сотрудников
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Ответственность за нарушение закона 152-ФЗ
ТОП-5 нарушений, за которые штрафуют компании и руководителей

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных». За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Персональные данные работников

Персональные данные работника: что можно делать без согласия работника, а что нельзя

26/11/2018

  • автор: Сергей Емельянов
  • 49

В данной статье будут рассмотрены нормы действующего законодательства, с которыми на практике встречается каждый кредитный кооператив и соблюдение которых практически всегда становится объектом проверок со стороны Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор), а именно: законодательные требования, связанные с обработкой персональных данных работников.

Работник как субъект персональных данных

Многие организации основные усилия по реализации требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) сосредотачивают на защите персональных данных клиентов — оно и понятно: согласно статистике Роскомнадзора именно они, а вернее их жалобы, являются основной причиной проведения внеплановых проверок организаций.

Но при этом нельзя забывать и о работниках кредитного кооператива, поскольку они, во-первых, являясь субъектами персональных данных, имеют точно такие же права, как заемщики или пайщики, а во-вторых, имеют доступ к персональным данным клиентов, что в отсутствие надлежащих процедур по защите таких данных может привести к негативным последствиям вроде передачи баз данных клиентов конкурентам.

Рассмотрение отношений работодателя и работника в двух вышеуказанных аспектах является целью нашей статьи.

Примеры документов, содержащих персональные данные работников:

  • Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;
  • Копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;
  • Личная карточка № Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.

Правовое положение работника как субъекта персональных данных определяется в большей части в двух нормативно-правовых актах: 152-ФЗ и гл. 14 Трудового кодекса Российской Федерации (далее — ТК РФ). Из данных документов можно выделить следующие обязанности кредитного кооператива в области соблюдения законодательства о персональных данных:

  • Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, предпочтительнее в виде отдельного документа;
  • Организация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также персональные данные, касающиеся состояния здоровья, за исключением сведений о возможности выполнения работником трудовой функции (исходя из практики, сведения (персональные данные), содержащиеся в т.н. «больничных листах», справках о беременности, Инвалидности не относятся к сведениям о состоянии здоровья и могут обрабатываться кредитным кооперативом);
  • Ознакомить работников под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. В действующем законодательстве отсутствует четкий перечень документов, с которыми должен быть ознакомлен работник. Исходя из правоприменительной практики, таким документами должны быть Положение об обработке персональных данных, Политика обработки персональных данных и иные локальные акты, в которых определяется порядок обработки персональных данных и которые издаются кооперативом самостоятельно. Причем, что неоднократно подтверждалось судебной практикой, ознакомить работника с вышеуказанными документами необходимо до заключения трудового договора. В целях защиты интересов кредитного кооператива также целесообразно заключить с работниками соглашение о конфиденциальности;
  • Разрешать только специально уполномоченным лицам доступ к персональным данным работников, необходимым для выполнения конкретных функций (данная обязанность может быть исполнена путем издания двух приказов: о назначении ответственного за обработку персональных данных в кооперативе и разграничении доступа работников к персональным данным в кооперативе);
  • Требовать от лиц, получающих персональные данные работников, соблюдение вышеуказанных требований. Исходя из разъяснений Управления Роскомнадзора по республике Саха (Якутия) в отношении третьих лиц, которым передаются персональные данные работника, требования ст. 88 ТК РФ возможно реализовать в виде обмена между работодателем и третьей стороной документами, в которых содержатся указанные в статье требования. Например, при передаче персональных данных работника работодатель в сопроводительном документе указывает, что персональные данные могут быть использованы только в целях, для которых они сообщаются, и просит в ответ направить подтверждение исполнения указанного требования. В свою очередь, получатель персональных данных направляет работодателю ответ, в котором указывается, что полученные персональные данные будут им использоваться исключительно в указанных целях. В целом с такой позицией следует согласиться. На наш взгляд, еще одним способом соблюдения требований ст. 88 ТК РФ в случаях передачи персональных данных в рамках гражданско-правового договора с третьим лицом может быть включение в договор условия о неразглашении передаваемых персональных данных и ограничений при их обработке;
  • Обеспечить защиту персональных данных работника от неправомерного использования или утраты за счет собственных средств (данное требование исполняется путем реализации организационных, юридических и технических мер, полный перечень которых из-за ограничений в объеме не представляется возможным привести в настоящей статье).

Помимо вышеуказанных требований действующего законодательства, особое внимание стоит обратить на такой документ, как согласие на обработку персональных данных работника. Формально данный документ не является обязательным, т.к., исходя из ч.5 п.1 ст.

6 152-ФЗ (позволяющей в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных обрабатывать персональные данные без согласия субъекта), кредитный кооператив может обрабатывать персональные данные соискателя и работника без их согласия. Однако на практике согласие на обработку персональных данных желательно по двум причинам: во-первых, это исключит споры с работником о перечне правомерно обрабатываемых персональных данных и позволит осуществлять их передачу третьим лицам (например, кредитной организации для выплаты заработной платы на банковскую карту, страховой организации для оформления полиса дополнительного медицинского страхования и т.д.), а во-вторых, согласие на обработку персональных данных является одним из первых документов, требуемых Роскомнадзором при проверке. Получение согласия работников представляется предпочтительнее споров с Роскомнадзором о наличии правового основания для обработки персональных данных.

При оформлении согласия работников на обработку их персональных данных следует обратить внимание, как минимум, на два момента.

Во-первых, согласно ст. 86 ТК РФ такая обработка может осуществляться лишь в целях:

  • обеспечения соблюдения законов и иных нормативных правовых актов;
  • содействия работникам в трудоустройстве, обучении и продвижении по службе;
  • обеспечения личной безопасности работников;
  • контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества.

Во-вторых, стоит обратить внимание на персональные данных работников, содержащиеся в стандартных формах.

Очевидно, они не могут быть изменены организацией самостоятельно, в том числе в них нельзя внести и поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, как того требует п.

7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687 (далее — Постановление).

На практике большинство организаций не обращает внимания на данный пункт, исходя как раз из невозможности изменения стандартных форм, однако такой подход несет в себе определенный правовой риск и не учитывает позицию некоторых территориальных управлений Роскомнадзора.

Согласно такой позиции при использовании унифицированных форм, утвержденных соответствующими уполномоченными органами, в организации целесообразно оформление дополнительного документа, подписанного субъектом персональных данных, содержащего все указанные в п. 7 Постановления пункты и поля.

Документ может содержать перечень типовых форм документов организации, характер информации в которых предполагает или допускает включение в них персональных данных субъекта персональных данных.

Примеры случаев, когда передача персональных данных работников возможна без согласия работников:

  • При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) — также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 ТК РФ).
  • Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 ТК РФ).
  • Ряд случаев согласно ст. 9 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Таким образом, проанализировав требования действующего законодательства, можно сделать вывод о значительном количестве норм, направленных на регламентацию порядка обработки персональных данных работника и на защиту его прав, несоблюдение которых может повлечь за собой привлечение к административной и материальной ответственности кредитного кооператива как работодателя.

Работник как лицо, имеющее доступ к персональным данным третьих лиц (заемщиков, других работников и прочее)

Проблемы, связанные с работниками, в чью трудовую функцию входит в том числе обработка персональных данных, крайне многочисленны и вследствие отсутствия единой судебной и правоприменительной практики иногда трудно разрешимы.

В рамках данной статьи будет рассмотрен лишь вопрос об условиях трудового договора работника, имеющего доступ к базе данных, обеспечивающих ее защиту от неправомерной передачи, например, конкурентам, и условиях, которые впоследствии могли бы стать основанием для привлечения работника к ответственности.

Исходя из смысла ст.

90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности. Возможным видом дисциплинарной ответственности, кроме замечания и выговора, является также увольнение (расторжение трудового договора по инициативе работодателя) по пп. «в» п. 6 ст. 81 ТК РФ за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника. При этом необходимо соблюдать порядок наложения дисциплинарных взысканий, предусмотренный ТК РФ.

Согласно ст. 243 ТК РФ, разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную) является основанием для привлечения к полной материальной ответственности работника (состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере).

Для привлечения работника по данному основанию к полной материальной ответственности необходимо наличие следующих условий:

  • принадлежность разглашенной информации к сведениям, составляющим государственную, служебную, коммерческую или иную охраняемую законом тайну (согласно ст.7 152-ФЗ персональные данные относятся к охраняемой законом тайне);
  • доступ работника к сведениям, составляющим охраняемую законом тайну. Такой доступ подразумевает оформление письменного документа (как правило, приказа, с которым ознакомлен работник, и соглашения о конфиденциальности в качестве дополнительного соглашения к трудовому договору), в котором указано, какие сведения работник обязуется не разглашать в связи с выполнением своих трудовых обязанностей;
  • распространение работником сведений, составляющих охраняемую законом тайну. При привлечении работника к полной материальной ответственности работодатель должен иметь доказательства сообщения работником сведений сторонним лицам (на практике данное обстоятельно доказать достаточно сложно, как правило, в качестве доказательств используются программные средства фиксации действии работника);
  • прямой действительный ущерб, причиненный работодателю разглашением работником сведений, которые составляют охраняемую законом тайну (на практике с доказыванием размера ущерба также возникают значительные проблемы ввиду отсутствия общепризнанных методик оценки стоимости информации и тем более баз данных).

Включение вышеуказанных условий в трудовой договор и локальные акты кредитного кооператива позволят минимизировать риск утечки персональных данных, в том числе баз данных, третьим лицам.

Однако стоит учитывать, что сама по себе возможность ответственности не всегда останавливает людей от противоправных действий по передаче персональных данных.

Для ее предотвращения требуется целый комплекс мер, как правого (организационные, юридические меры) и технического характера, так и мер, лежащих вне плоскости правового регулирования (отношение к организации), которые в совокупности позволят обеспечить нормальное функционирование организации и соблюдение норм действующего законодательства.

Хотите внедрить в своей организации CRM или получить бесплатную консультацию? Тогда звоните нам по телефону: +7(843)202-38-93

Источник: https://itvolga.com/blog/personal-data-rab

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.