Что такое обработка персональных данных
Определение данного понятия содержится в Законе № 152-ФЗ от 27.07.2006 года. Согласно статье 3, обработка персональных данных – это любые действия/операции, которые совершаются с использованием средств автоматизации или без них с персональными данными. К примеру, это сбор, накопление, запись, систематизация, хранение, уточнение (обновление, изменение), передача, извлечение, использование, удаление, обезличивание, блокирование, уничтожение личных сведений. То есть, по сути это любые действия или операции с персональными данными.
Что относится к персональным данным
Любая информация о сотруднике считается персональной. К основным документам, в которых содержатся личные данные специалиста, в том числе относятся:
- копия паспорта физлица;
- анкета, заполняемая при трудоустройстве;
- трудовая книжка или сведения и трудовой деятельности, а также копии этих документов;
- дипломы об образовании/квалификации сотрудника;
- копии свидетельств на рождение детей, заключение брака;
- документы воинского учета;
- справки о доходах и суммах НДФЛ с прошлых мест трудоустройства;
- документ-подтверждение регистрации физлица в системе персонифицированного учета – к примеру, СНИЛС или уведомление;
- трудовой договор;
- личные дела;
- приказы или распоряжения (оригиналы и копии) по личному составу;
- статистическая, налоговая отчетность и т.д.
Обратите внимание! В определенных ситуациях суд может рассматривать как персональную и другую информацию о физлице. Например, номер его мобильного телефона, адрес электронной почты, фото в социальных сетях, данные о смерти. В соответствии с Письмом Роскомнадзора от 10.02.2020 N 08АП-6782 фотографии, аудио- и видеозаписи, отпечатки пальцев являются биометрическими персональными данными.
Как работодателю обеспечить обработку персональных данных
По требованиям закона работодатели являются операторами персональных данных и обязаны до начала такой обработки уведомить Роскомнадзор о своем намерении (пункт 1 статьи 22 № 152-ФЗ). Сформировать и направить уведомление можно на официальном сайте ведомства. Бланк утвержден в Приложении 1 к Приказу Роскомнадзора от 28.10.2022 N 180. Не требуется подавать уведомление, если:
- обрабатываются данные, включенные в ГИС персональных данных, которые созданы для защиты общественного порядка безопасности государства;
- при обработке не используются средств автоматизации;
- данные обрабатываются по законодательству о транспортной безопасности.
Нужно ли получать согласие работника
По общим правилам работодатель вправе обрабатывать персональные данные работника только с его согласия (пункт 1 части 1 статьи 6, абзац 1 части 4 статьи 9 № 152-ФЗ). Такое согласие должно быть оформлено в письменном виде. Если с работником заключается типовой трудовой договор, в нем уже предусмотрен этот пункт. Форма типового договора утверждена в Постановлении Правительства РФ от 27.08.2016 N 858.
В других случаях рекомендуется оформлять согласие в виде отдельного документа. В нем требуется указать следующие сведения:
- ФИО (полностью), адрес работника, данные паспорта, включая информацию о дате его выдачи и ответственном органе.
- ФИО (полностью), адрес представителя работника, данные паспорта, включая информацию о дате его выдачи и ответственном органе, реквизиты доверенности либо другого документа, которые подтверждает полномочия представителя.
- Название или ФИО работодателя, а также его адрес.
- Цель обработки персональных данных, их перечень.
- Название или ФИО того лица, который будет заниматься обработкой по поручению работодателя, а также его адрес.
- Перечень действий/операций в рамках обработки персональных данных, на которые дает согласие сотрудник, а также общее описание способов обработки.
- Срок действия согласия, вариант его отзыва (если иной способ не установлен на законодательном уровне).
- Личная подпись сотрудника, который предоставляет работодателю согласие на обработку персональных данных.
В некоторых ситуациях получать согласие не нужно. К примеру, если персональные данные передаются третьей стороне для предупреждения угрозы здоровью или жизни, или обработка осуществляться для выполнения обязанностей, которые возложены на оператора по закону (пункт 2 части 1 статьи 6 № 152-ФЗ, статья 88 ТК РФ, пункт 4 Разъяснений Роскомнадзора).
Какие документы должны быть в организации для обработки персональных данных
Точный список документов, которые регламентируют порядок работы с персональными данными в организации, закон не устанавливает. На практике чаще всего работодатели разрабатывают положение о персональных данных или другой ЛНА. В нем нужно прописать порядок работы с данными, способы защиты электронных документов, перечень лиц, у которых есть доступ к персональным данным, правила хранения личных дел и прочих кадровых документов. Положение утверждается приказом руководителя предприятия. С содержанием документа нужно ознакомить персонал под личные подписи (статья 88 ТК РФ, пункт 15 Положения об обработке персональных данных по Постановлению Правительства РФ от 15.09.2008 N 687).
В документе нужно описать все связанные с обработкой действия, включая сбор, хранение, использование информации и т.д.). Категории и перечень данных, сроки их хранения, обработки, способы обработки и т.д. должны быть определены отдельно для каждой цели обработки (статья 87 ТК РФ, пункт 2 части 1 статьи 18.1 № 152-ФЗ).
Дополнительно работодателю нужно оформить документ, который определяет политику работодателя в отношении обработки информации (пункт 2 части 1 ст. 18.1 № 152-ФЗ). Организация вправе самостоятельно установить структуру и содержание такого документа. При этом рекомендуется ориентироваться на рекомендации Роскомнадзора. В частности, в документе можно указать информацию о цели сбора данных, их объемах и категориях, правовых основаниях, порядке обработки.
Ответственность за нарушения
Меры административной ответственности за несоблюдение работодателем требований к обработке персональных данных, которые установлены ТК РФ, прописаны в частях 1,2 статьи 5.27 КоАП РФ. К примеру, наказать могут в случае неознакомления под личные подписи работников с ЛНА, устанавливающими порядок обработки, включая положение о персональных данных.
Меры уголовной ответственности предусмотрены по части 2 статьи 137 УК РФ. Применяются, если ответственный работник предприятия злоупотреблял своими служебными полномочиями, занимался обработкой личных данных без согласия сотрудника.