Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Уведомление Роскомнадзора об обработке персональных данных работников
Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.
Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое обоснование обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
В каких случаях потребуется уведомление Роскомнадзора
С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- получаемых и обрабатываемых в рамках трудового законодательства;
- получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
- относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
- разрешенных физлицом для распространения;
- включающих в себя только фамилии, имена и отчества физлиц;
- необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
- Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
- Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
- Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
- Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.
Что является личной информацией граждан?
Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:
- ФИО, пол, возраст;
- семейное положение, а также родственные связи и наличие детей;
- сведения об образовании и наличии квалификационных навыков;
- адрес места жительства и прописки;
- любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
- биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
- сведения о заработке и финансовом положении;
- иные сведения, позволяющие идентифицировать физическое лицо.
Стоит перечислить и документы, в которых эти сведения содержатся:
- гражданский паспорт, свидетельства о браке, рождении детей;
- документы об образовании, повышении квалификации и т.д.;
- трудовая книжка;
- военный билет.
Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.
В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.
Что конкретно изменится для бизнеса и покупателей.
Если раньше обращение с персональными данными регулировалось «Законом о персональных данных», теперь добавился ещё и закон «О защите прав потребителей».
Покупатель может запросить, с какой целью собираются его персональные данные. Если обращение устное, продавец обязан дать ответ немедленно, если подано письменно, в электронной или иной форме, на разъяснение даётся семь дней. Контролем вопроса займётся Роспотребнадзор.
Когда можно требовать ПД.
Персональные данные для заключения договора можно потребовать в двух случаях.
- Если без них продавец не может выполнить свои обязательства по договору. Например, необходимы адрес и телефон для доставки товара или адрес электронной почты, чтобы отправить на него билеты на мероприятие, если скачать их напрямую с сайта нельзя.
- В установленных законом случаях. Например, при заключении договора с мобильным оператором, банком, микрофинансовой организацией, при продаже ювелирных украшений на сумму свыше 40 000 рублей.
Срок действия согласия на обработку персональных данных
Законодательством не предусматривается какой-то конкретный срок действия документа на согласия обработку персональных данных . Однако, заключая согласие на обработку своих данных, физическое лицо должно указать способ, при помощи которого оно сможет его отменить. Также указывается и срок действия данного документа. Здесь можно использовать один из вариантов:
- Указать конкретную дату, после которой данное согласие будет считаться недействительным;
- Отметить, что согласие будет действовать до тех пор, пока владелец данных не напишет письменную отмену данного документа;
- Сделать пометку, что действие этого разрешения прекратится сразу после того, как оператор использует данные.
Кто такие операторы и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен.
Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия на обработку персональных данных для родителей (в детском саду или школе).
Когда чаще всего требуется согласие
Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:
- при трудоустройстве;
- при оформлении ребенка в школьное или дошкольное учреждение;
- при составлении договора финансовой или страховой организацией.
Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:
- При сборе информации федеральными службами;
- Для оказания государственных услуг;
- Для судебных разбирательств;
- Для защиты прав гражданина, когда нет возможности получить его согласия;
- Для защиты прав третьих лиц;
- Журналистам разрешено использовать некоторые данные без согласия гражданина;
- Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.
Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.
Что входит в «персональные данные»?
В ФЗ-152 дано четкое определение, что такое персональные данные и какая информация относится к ним. Согласно этому законодательному акту к ним можно отнести:
- ФИО человека;
- паспортные данные и информацию из других документов человека;
- дата и место его рождения;
- характеристики личности (вероисповедание, состояние здоровья, наличие или отсутствие судимостей и др.).
Обычно, их принято условно разделять на три группы:
- Общедоступные. Установочные данные человека, место и дата его рождения, а также гражданином какой страны он является.
- Биометрические. Физиологические особенности организма человека, например, наличие у него группы инвалидности и его внешние биологические параметры
- Специальные. Включают в себя принадлежность человека к определенной национальности, его вероисповедание, здоровье. Сюда же в какой-то мере относится место его трудоустройство, а также привычки и судимости.
При этом согласие на обработку только, если собираются данные для хранения и использования из второй и третьей группы.
В каких случаях потребуется уведомление Роскомнадзора
Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.
Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.
Заявление о согласии на обработку персональных данных образец бланк
- Каждый из граждан, заполнявший анкету, в которую сам вносил свои паспортные или иные личные данные, с большой долей вероятности сталкивался с заявлением о согласии на обработку персональных данных.
- Для чего требуется писать подобное заявление, и какие последствия оно может повлечь, необходимо разобрать подробнее.
- Защита персональных данных
Итак.
Мы заполняем анкету, например, при собеседовании у предполагаемого работодателя.
В анкетный лист вносятся, зачастую, паспортные данные, сведения об обучении, семейном положении, родственниках и иные, достаточно личные данные.
Но вся эта информация подпадает под действие правовых норм о защите данных, и лицо, получившее доступ к таким сведениям, и как-либо использующее их без согласия на то владельца, может быть привлечено к ответственности.
Но анкеты для того и заполняются, чтобы сведения о человеке можно было проверить, в том числе, и путём обработки данных о нём, и запросов в различные организации. Это значит, что на такие действия требуется получить разрешения самого гражданина.
- Учитывая требования закона, лицо, получающее личную информацию, обязано получить и согласие на её обработку.
- Реализуется такая обязанность путём заполнения опрашиваемым заявления с личным согласием на обработку персональных данных, которое и является необходимым документом, с точки зрения права, для того, чтобы надлежащим образом проверить предоставленную информацию.
- Где же заявление
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Как передать обработку ПД третьим лицам
Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.
В акте необходимо указать:
- перечень обрабатываемых персональных данных;
- обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
- обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
- обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).