Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
Как происходит обработка персональных данных?
Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».
Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:
- соблюдение требований актуального законодательства;
- цель обработки необходимо определить и озвучить субъекту заранее;
- собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
- оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
- после достижения финальной цели данные нужно уничтожить.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Оформление пользовательского соглашения для сайта имеет ряд юридических особенностей. В пользовательском соглашении должно быть указано правило, по которому в него вносятся изменения, а также в какой момент новая версия вступает в силу – с помощью повторного согласия или автоматически.
Не рекомендуется вводить в этот документ максимальное количество условий. Некоторые из них, например, согласие на рекламную рассылку, должны оформляться отдельно, так как принятие соглашения, в состав которого они включены, предполагает безальтернативность выбора для пользователя.
В результате пользователь может пожаловаться в антимонопольные органы и Роскомнадзор, ведь по статье 18 (п.1) №38-ФЗ «О рекламе» распространение рекламы по сетям электросвязи допускается только с согласия абонента. Причем обязанность доказательства такого согласия возлагается на владельца сайта. Оно должно оформляться в виде 2 отдельных документов: согласие об обработке персональных данных и согласие на получение рекламы.
Штраф за нарушение рекламного законодательства по статье 13.11 КоАП РФ может достигать 500 тысяч рублей.
Пример. В декабре 2019 г. в Ярославское УФАС поступила жалоба от физического лица по поводу получения рекламного смс-сообщения от видеосервиса OKKO. Регистрируясь на его сайте, пользователи принимают пользовательское соглашение и дают согласие на получение рекламных сообщений. Однако УФАС признало, что само заполнение регистрационной формы не является явным подтверждением согласия на получение рекламных сообщений. ООО «Окко» оштрафовано на 100 000 рублей (Постановление Федеральной антимонопольной службы № 7389/04-04 от 20.07.2020).
Согласие на получение кредитного отчета
Я даю разрешение Банку* на получение из бюро кредитных историй кредитного отчета, содержащего, в том числе, основную часть кредитной истории, определенную в ст. 4 Федерального закона от 30.12.2004 № хх8 — ФЗ «О кредитных историях», для целей проведения Банком проверки и анализа моей кредитоспособности, а также подбора условий кредитования, в которых я потенциально могу быть заинтересован. Автоматизированная и неавтоматизированная обработка персональных данных, указанных в настоящем Согласии, осуществляется Банком с целью получения кредитного отчета. Обработка включает в себя: сбор, запись, систематизацию, хранение, извлечение, использование, передачу (предоставление) третьим лицам**, их работникам и уполномоченным ими лицам, включая обезличивание, блокирование и уничтожение. Срок обработки персональных данных ограничивается достижением указанной выше цели.
* ПАО РОСБАНК, 107078, г. Москва, ул. Маши Порываевой, д. 34.
** Под третьими лицами понимаются лица, заключившие с Банком договор, обеспечивающий соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Приложение № 6
к согласию на обработку персональных данных
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
- определение круга сведений, являющихся персональными;
- установление условий обработки, хранения и уничтожения данных их получателем;
- описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
- перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
- определение ответственности лиц, разгласивших персональную информацию.
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
- в удостоверении личности (паспорте);
- трудовой книжке;
- свидетельстве ПФР;
- документах об обучении;
- документах воинского учета;
- дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.