Что нужно знать об обработке персональных данных

0
Добавить в избранное В избранное
Поделиться
В ходе своей деятельности любой работодатель получает и обрабатывает личные данные своих сотрудников. Это в том числе такая информация, как ФИО, телефоны, электронная почта, адреса проживания и пр. При работе с подобными сведениями нужно соблюдать требования законодательства. Иначе могут применяться меры административной, гражданско-правовой, уголовной ответственности, а также дисциплинарной и материальной (статья 90 ТК РФ). Разбираемся, что такое обработка персональных данных, как ее обеспечить, нужно ли получать согласие сотрудника, какая есть ответственность за нарушения.

Что такое обработка персональных данных

Определение данного понятия содержится в Законе № 152-ФЗ от 27.07.2006 года. Согласно статье 3, обработка персональных данных – это любые действия/операции, которые совершаются с использованием средств автоматизации или без них с персональными данными. К примеру, это сбор, накопление, запись, систематизация, хранение, уточнение (обновление, изменение), передача, извлечение, использование, удаление, обезличивание, блокирование, уничтожение личных сведений. То есть, по сути это любые действия или операции с персональными данными.

Что относится к персональным данным

Любая информация о сотруднике считается персональной. К основным документам, в которых содержатся личные данные специалиста, в том числе относятся:

  • копия паспорта физлица;
  • анкета, заполняемая при трудоустройстве;
  • трудовая книжка или сведения и трудовой деятельности, а также копии этих документов;
  • дипломы об образовании/квалификации сотрудника;
  • копии свидетельств на рождение детей, заключение брака;
  • документы воинского учета;
  • справки о доходах и суммах НДФЛ с прошлых мест трудоустройства;
  • документ-подтверждение регистрации физлица в системе персонифицированного учета – к примеру, СНИЛС или уведомление;
  • трудовой договор;
  • личные дела;
  • приказы или распоряжения (оригиналы и копии) по личному составу;
  • статистическая, налоговая отчетность и т.д.

Обратите внимание! В определенных ситуациях суд может рассматривать как персональную и другую информацию о физлице. Например, номер его мобильного телефона, адрес электронной почты, фото в социальных сетях, данные о смерти. В соответствии с Письмом Роскомнадзора от 10.02.2020 N 08АП-6782 фотографии, аудио- и видеозаписи, отпечатки пальцев являются биометрическими персональными данными.

Как работодателю обеспечить обработку персональных данных

По требованиям закона работодатели являются операторами персональных данных и обязаны до начала такой обработки уведомить Роскомнадзор о своем намерении (пункт 1 статьи 22 № 152-ФЗ). Сформировать и направить уведомление можно на официальном сайте ведомства. Бланк утвержден в Приложении 1 к Приказу Роскомнадзора от 28.10.2022 N 180. Не требуется подавать уведомление, если:

  • обрабатываются данные, включенные в ГИС персональных данных, которые созданы для защиты общественного порядка безопасности государства;
  • при обработке не используются средств автоматизации;
  • данные обрабатываются по законодательству о транспортной безопасности.

Нужно ли получать согласие работника

По общим правилам работодатель вправе обрабатывать персональные данные работника только с его согласия (пункт 1 части 1 статьи 6, абзац 1 части 4 статьи 9 № 152-ФЗ). Такое согласие должно быть оформлено в письменном виде. Если с работником заключается типовой трудовой договор, в нем уже предусмотрен этот пункт. Форма типового договора утверждена в Постановлении Правительства РФ от 27.08.2016 N 858.

В других случаях рекомендуется оформлять согласие в виде отдельного документа. В нем требуется указать следующие сведения:

  • ФИО (полностью), адрес работника, данные паспорта, включая информацию о дате его выдачи и ответственном органе.
  • ФИО (полностью), адрес представителя работника, данные паспорта, включая информацию о дате его выдачи и ответственном органе, реквизиты доверенности либо другого документа, которые подтверждает полномочия представителя.
  • Название или ФИО работодателя, а также его адрес.
  • Цель обработки персональных данных, их перечень.
  • Название или ФИО того лица, который будет заниматься обработкой по поручению работодателя, а также его адрес.
  • Перечень действий/операций в рамках обработки персональных данных, на которые дает согласие сотрудник, а также общее описание способов обработки.
  • Срок действия согласия, вариант его отзыва (если иной способ не установлен на законодательном уровне).
  • Личная подпись сотрудника, который предоставляет работодателю согласие на обработку персональных данных.

В некоторых ситуациях получать согласие не нужно. К примеру, если персональные данные передаются третьей стороне для предупреждения угрозы здоровью или жизни, или обработка осуществляться для выполнения обязанностей, которые возложены на оператора по закону (пункт 2 части 1 статьи 6 № 152-ФЗ, статья 88 ТК РФ, пункт 4 Разъяснений Роскомнадзора).

Какие документы должны быть в организации для обработки персональных данных

Точный список документов, которые регламентируют порядок работы с персональными данными в организации, закон не устанавливает. На практике чаще всего работодатели разрабатывают положение о персональных данных или другой ЛНА. В нем нужно прописать порядок работы с данными, способы защиты электронных документов, перечень лиц, у которых есть доступ к персональным данным, правила хранения личных дел и прочих кадровых документов. Положение утверждается приказом руководителя предприятия. С содержанием документа нужно ознакомить персонал под личные подписи (статья 88 ТК РФ, пункт 15 Положения об обработке персональных данных по Постановлению Правительства РФ от 15.09.2008 N 687).

В документе нужно описать все связанные с обработкой действия, включая сбор, хранение, использование информации и т.д.). Категории и перечень данных, сроки их хранения, обработки, способы обработки и т.д. должны быть определены отдельно для каждой цели обработки (статья 87 ТК РФ, пункт 2 части 1 статьи 18.1 № 152-ФЗ).

Дополнительно работодателю нужно оформить документ, который определяет политику работодателя в отношении обработки информации (пункт 2 части 1 ст. 18.1 № 152-ФЗ). Организация вправе самостоятельно установить структуру и содержание такого документа. При этом рекомендуется ориентироваться на рекомендации Роскомнадзора. В частности, в документе можно указать информацию о цели сбора данных, их объемах и категориях, правовых основаниях, порядке обработки.

Ответственность за нарушения

Меры административной ответственности за несоблюдение работодателем требований к обработке персональных данных, которые установлены ТК РФ, прописаны в частях 1,2 статьи 5.27 КоАП РФ. К примеру, наказать могут в случае неознакомления под личные подписи работников с ЛНА, устанавливающими порядок обработки, включая положение о персональных данных.

Меры уголовной ответственности предусмотрены по части 2 статьи 137 УК РФ. Применяются, если ответственный работник предприятия злоупотреблял своими служебными полномочиями, занимался обработкой личных данных без согласия сотрудника.

Добавить в избранное В избранное
Поделиться
Предыдущий материал
Следующий материал