Как работать с персональными данными работников в 2023 году
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2023 году». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что делать, если работник отказывается подписывать документ?
Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ. В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать. Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных.
В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях. Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника. Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места.
Что входит в заявление о согласии на обработку персональных данных
Примеры заполнения есть в свободном доступе в большом количестве. Документ составляют на основании положений пункта 4 статьи 9 Федерального закона №
- паспортные данные субъекта;
- сведения о представителе и его праве представлять интересы гражданина;
- сведения об операторе ПДн, которому дается разрешение на хранение, изменение, блокировку и прочие операции;
- перечисление информации, подлежащей передаче и обработке;
- технологию использования ПДн;
- лиц, которых компания либо ИП собираются привлечь для обработки;
- срок действия соглашения;
- порядок отзыва разрешения;
- оригинал подписи заявителя;
- дату подписания.
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.
- Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
- Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
- Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
Чтобы соблюдать 152-ФЗ, как минимум, надо:
- зарегистрироваться как оператор ПД,
- составить политику обработки ПД и согласие на обработку персональных данных,
- повесить на сайт уведомление о сборе метаданных;
Кто такие операторы и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Для чего формируется согласие на обработку при приеме на работу?
После принятия и вступления в силу Федерального закона № 152 «О персональных данных» с 30 января 2007 года любое использование личной информации происходит только с согласия ее владельца. При устройстве на работу в обязательном порядке соискатель предоставляет пакет документов, таких как паспорт, СНИЛС, ИНН, они содержат общедоступные сведения, согласие брать в этом случае необязательно.
А вот при предоставлении таких документов, как справка о состояние здоровья, или наличия (отсутствия) судимости требует оформление бланка данного согласия в обязательном порядке. Поэтому до заключения трудового договора соискатель должен составить согласие в письменной форме, так как, попадая к специалисту отдела кадров, все данные становятся конфиденциальными (ст. 14 ТК РФ). На это указывает пункт 8 статьи 65 Трудового кодекса РФ.
В бланке согласия на обработку персональных данных должно быть подробно написано для каких целей собирается информация о соискателе при устройстве на работу.
Согласно законодательству, при передаче работодателю они могут использоваться строго для служебных целей.
Когда требуется согласие на обработку персональных данных?
В большинстве случаев действия, касающихся использования личных сведений граждан, требуют соответствующего согласия. Но закон 152 допускает моменты, когда этот документ не требуется. При этом обязательно соблюдение законодательства и в рамках него не допускать превышения допустимого объема обработки. Также обязательно соответствие действий достижения целей, ради которых информация используется.
Потребуется согласие гражданина и в случае, когда его контактные данные, такие как номер мобильного телефона и адрес электронной почты, могут использоваться для иных целей.
Статья 86 Трудового кодекса гласит, что персональные данные оператор должен получать непосредственно от самого работника. При этом допускаются случаи, когда их можно получить только у третьей стороны. В такой ситуации следует учитывать, что предварительно работник должен быть осведомлен об этом и дать соответствующее согласие.
Перечислим случаи, когда от работника не требуется согласие на обработку его личных данных, если они получены:
- из документов, которые он представил для оформления трудового контракта;
- в результате обязательного медосмотра, пройденного гражданином перед поступлением на работу;
- из данных, содержащихся в личной карточке работника, а также в случаях, предусмотренных законодательством в рамках п.2 Разъяснений Роскомнадзора;
- из опубликованного на открытых ресурсах сети Интернет резюме;
- когда от имени соискателя на должность, вакантную в организации, выступает кадровое агентство и представляет персональные данные потенциального работника.
Можно ли отозвать согласие?
В случае обнаружения противоправных действий в отношении персональных данных, переданных для обработки оператору, а также при увольнении с работы или иных случаях гражданин вправе отозвать ранее переданное согласие. Чаще всего этот документ хоть и подписывается в сознательном порядке, но сам факт может забыться. Поэтому такие случаи достаточно редки.
При желании оформить отзыв согласия достаточно просто. Это делается путем написания заявления в произвольном виде с требованием:
- о прекращении любых действий с полученными ранее персональными данными;
- об уничтожении их.
При этом в заявлении можно сослаться на нормативную базу Федерального закона № 152, в частности п.2 ст.9. Оператор обязан в течение одного месяца после получения отзыва выполнить требования гражданина.
Отметим, что ответственность оператора в части обработки личных сведений закреплена ч.2 ст.13.11 КоАП и нарушением считается:
- обработка данных в случаях, когда требуется согласие, но оно не получено от субъекта в письменном виде;
- согласие составлено с нарушением требований с составу сведений, которые должны присутствовать в этом документе.
- Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
- Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
- Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
- Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.
Особенности составления заявления о согласии на обработку персональных данных
Общераспространен нижеследующий алгоритм составления заявления о согласии на обработку ПД (с учетом требований Закона № 152-ФЗ и приказа № 18):
- В «шапке» документа указывают название организации и Ф.И.О. руководителя (или Ф.И.О. индивидуального предпринимателя), Ф.И.О. гражданина, адрес, реквизиты документа, удостоверяющего личность (паспорта).
- Далее надо указать полное название документа.
- После этого от имени гражданина следует перечислить, для каких целей предоставляются персональные данные и кому именно (название организации или ИП, адрес).
- Далее надо привести перечень персональных данных.
- Затем следует прописать, что документ начинает действовать со дня его подписания до дня отзыва в письменной форме. Также можно указать, что согласие написано в добровольном порядке.
- Заявление на согласие на обработку персональных данных (образец, приведенный ниже, можно взять за основу) в обязательном порядке должен подписать сам гражданин.
Услуга может включать в себя несколько операций обработки данных для более чем одной цели. В таких случаях субъекты данных должны иметь возможность выбора, для какой именно цели они дают Согласие, по отдельности. В соответствии с GDPR, для начала предоставления услуги может быть запрошено несколько Согласий.
В пункте 43 разъясняется, что Согласие не считается добровольным, если процесс получения не позволяет субъектам данных давать Согласие на отдельные операции. Пункт 32 гласит: “Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить Согласие для каждой из них.”
Если контролер объединил несколько целей обработки и не попытался получить отдельное Согласие для каждой из них, это означает отсутствие свободы. Детализация тесно связана с необходимостью конкретизации Согласия, которая описывается в разделе 3.2. ниже. Когда обработка данных осуществляется в нескольких целях, условием законного Согласия является разделение этих целей и получение Согласия для каждой.
Пример 7
Одним запросом Согласия ритейлер запрашивает у своих клиентов разрешение на использование данных для отправки им маркетинговых сообщений по электронной почте, а также для обмена данными с другими партнерами группы. Такое Согласие не является детализированным, поскольку нет отдельных опций для этих двух целей и поэтому не считается законным. Необходимо получить Согласие на отправку данных партнерам группы. Такое Согласие будет считаться законным для каждого партнера (см. также раздел 3.3.1), перечисленного в Согласии, в той мере, в какой оно соответствует заявленной цели.