Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные работника: что важно знать об этом». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Ответственность за распространение персональных данных
Законодательные нарушения в части хранения персональных данных караются административными штрафами и другими наказаниями вплоть до уголовного преследования. Назначаемые санкции зависят от характера и степени обнаруженных недочётов, наличия усугубляющих факторов (например, массового распространения содержимого анкет или электронных баз данных).
Нарушителям грозит:
- штраф до 75 тысяч рублей — за сбор избыточных данных, обработку без согласия на это со стороны работника, предоставление доступа посторонним лицам;
- штраф до 200 тысяч рублей или лишение свободы до 2 лет, запрет занимать определенные должности до 3 лет — за публикацию персональных данных в открытом доступе;
- штраф до 300 тысяч рублей, лишение свободы до 5 лет, запрет на занятие должностей до 6 лет — если указанное выше нарушение было совершено с использованием служебного положения.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Как получить согласие на обработку персональных данных
Обработка персональных данных — это любые действия с личной информацией:
- получение;
- структуризация;
- хранение на носителях — в электронных и бумажных архивах;
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание — устранение очевидной связи между человеком и его ПД;
- блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Защита персональной информации соискателей
Резюме соискателя включает большой объем персональной информации — к ним относятся номер телефона и электронная почта, данные об образовании и о месте жительства.
Роскомнадзор рекомендует работодателям получать согласие на обработку персональных сведений из резюме для обеспечения их защиты. Оно оформляется на время прохождения собеседования, пока не примут окончательное решение.
Согласие не нужно в таких ситуациях:
- резюме соискателя компания получает от агентства по подбору персонала. В этом случае именно агентство обязано защищать персональные данные;
- соискатель сам загружает резюме в открытый доступ, к примеру, на сайте по поиску работы. В этом случае сайт и соискатель совместно несут обязанность по защите персональных данных.
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
В каких документах есть персональные данные
В процессе работы кадровая служба копит и хранит сведения о сотруднике, заключенные в следующих документах:
Документы | Какие персональные данные в них содержатся |
Резюме, анкета, автобиография, личный листок по учету кадров | Личные качества, биографические данные |
Копия удостоверения личности | ФИО, дата и место рождения, адрес регистрации, семейное положение, реквизиты самого удостоверения |
Личная карточка № Т-2 | Дополнительно к данным удостоверения личности указывается состав семьи и образование |
Трудовая книжка | Трудовой стаж, места работы |
Копии свидетельств о заключении брака, рождении детей | Сведения о составе семьи |
Документы воинского учета | Отношение работника к воинской обязанности |
Справка о доходах с предыдущего места работы | Уровень заработка на предыдущем месте трудоустройства |
Документы об образовании | Уровень образования |
СНИЛС, ИНН | Индивидуальные номера гражданина в системе пенсионного страхования и для налоговых органов |
Трудовой договор | Должность, заработная плата, место работы |
Приказы по личному составу и их копии | Информация о приеме, переводе, повышении, увольнении |
В качестве персональных выступают и другие данные, не перечисленные в таблице. Например, информация о соискателях для принятия руководством решения о приеме нового сотрудника из нескольких кандидатур.
Работа со специальными категориями данными
Обработка информации, которая связана с личными политическими взглядами и религией, может быть проведена только в исключительных ситуациях. Сюда также относятся такие моменты, как национальность, особенности личной жизни. Но доступ к подобной информации и ее последующий анализ возможны только при определенных условиях:
- На обработку предварительно было получено письменное разрешение.
- Информация является общедоступной.
- Сведения, которые касаются здоровья человека, могут быть использованы только для сохранения его жизни.
- Есть необходимость в проведении судебных мер.
- Требуется провести определенную розыскную деятельность или мероприятия, отвечающие за безопасность.
Несмотря на то, что даже при определенных разрешениях можно получить доступ к персональным данным, человек имеет право отказать в этом праве.
Что включает понятие персональные данные
В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.
Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
- отношение к воинской обязанности;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- СНИЛС;
- ИНН;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
- сведения о доходах в ООО «Ромашка»;
- сведения о деловых и иных личных качествах, носящих оценочный характер.
Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:
-
Какое сочетание указанной выше информации дает основание считать ее персональными данными?
-
Каков минимальный объем информации позволяет считать ее персональными данными?
-
Является ли фамилия (без указания имени и отчества) персональными данными?
-
Является ли адрес электронной почты персональными данными?
-
Является ли номер телефона персональными данными?
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.