Уголовный юрист

Юристы по кредитам

Обработка персональных данных работодателем

Опубликовано: 12 декабря, 2022 Категория: Наследование Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Риски при нарушении требований к обработке персональных данных работников организации
2. Что сделать для того, чтобы правильно работать с персональными данными?
3. Цель обработки персональных данных в организации — правовое регулирование
4. Цели обработки персональных данных на предприятии
5. Когда не требуется согласие
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
7. Что значит обработка персональных данных: порядок, участники процесса
8. Можно ли отказаться от обработки персональных данных с позиции закона
9. Что такое персональные данные?
10. Состав персональных данных работника
11. Как работать с персональными данными работника, чтобы не оштрафовали
12. Организуем работу с персональными данными сотрудников
13. Ответственный за обработку персональных данных в организации

Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.

  • Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
  • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо:

  • зарегистрироваться как оператор ПД,
  • составить политику обработки ПД и согласие на обработку персональных данных,
  • повесить на сайт уведомление о сборе метаданных;

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Что сделать для того, чтобы правильно работать с персональными данными?

Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.

Юридическое обоснование чекбоксов звучит так:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Цель обработки персональных данных в организации — правовое регулирование

С точки зрения российского законодательства, с целью соблюдения требований Конституции РФ, а также международных нормативно-правовых актов, в которых участвует Российская Федерация, личная информация граждан и иностранцев, должна быть защищена от незаконных операций с ней. В вопросах трудовых взаимоотношений ключевое значение для определения действующих юридических нормативов, затрагивающих любые виды операций с личными сведениями, имеют следующие положения нормативно-правовых документов и актов:

  • ФЗ №152 от 27.07.2006. Данным законом регламентируются основные общие принципы обращения с информацией, составляющей личные сведения о любом человеке, в том числе и в вопросах осуществления трудовых взаимоотношений, но не ограничиваясь ими.
  • Ст.81 регламентирует принципы увольнения сотрудников по инициативе работодателя, в том числе и за грубые дисциплинарные нарушения, к которым можно отнести разглашение персональных данных трудящимся.
  • Ст.86 обеспечивает регулирование общих принципов обеспечения защиты личной информации работников.
  • Ст.87 посвящена нормативам использования и хранения рассматриваемых данных в рамках трудовых взаимоотношений.
  • Ст.88 устанавливает принципы, по которым может осуществляться передача личной информации при ведении трудовой деятельности.
  • Ст.89 посвящена основным правам трудящихся касательно сведений, относимых к персональным.
  • Ст.90 регламентирует ответственность за нарушение установленного законом порядка работы с личными данными.
Читайте также:  Программа утилизации автомобилей в 2023 году

Согласно п. 3.1 Рекомендаций в этом разделе нужно описать назначение политики, расшифровать основные понятия, используемые в документе, перечислить права и обязанности оператора и субъектов ПД. В частности, целесообразно дать определения понятиям «обработка персональных данных», «оператор», «субъект персональных данных», «конфиденциальность персональных данных» и др.

Например, вступительная часть может быть такой:

Настоящая политика в области обработки и защиты персональных данных оператора (далее – Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке персональных данных.

Цели обработки персональных данных на предприятии

Организация обрабатывает личные данные работников в следующих целях:

  • создание, заключение, выполнение и расторжение договоров гражданско-правового характера. Сюда включаются отношения и с физическими, и с юридическими лицами, а также с предпринимателями. Такие отношения регулируются законами и документами о деятельности компании;
  • учет в кадровой сфере, контроль исполнения законов в общей деятельности и области гражданского права;
  • осуществление делопроизводства, соответствующего требованиям закона, правильное оформление приема на работу, помощь в карьерном росте сотрудникам, применение льгот;
  • правильное применение норм налогового права в области налогообложения доходов граждан и отчисления взносов в фонды, формирование данных учета и передача их в Пенсионный фонд РФ;
  • ведение статистики и оформление документации, требуемой нормами налогового и трудового права.

Когда не требуется согласие

Закон не обязывает оператора запрашивать согласие субъекта на обработку его данных в следующих случаях:

  • она предусмотрена условиями заключенного с гражданином соглашения или включена в состав полномочий и общих функций работодателя. Примеры таких ситуаций: ответы на официальные запросы государственных органов, направление сведений в ПФР РФ и т. д.;
  • в организации имеется коллективный договор или иное соглашение с работниками. Также сюда относятся и иные нормативные акты компании, соответствующие ст. 372 ТК РФ;
  • закон обязывает данную категорию работодателей делать доступной информацию о состоящих в штате сотрудниках. Пример: медицинские учреждения, которые обязаны информировать население о количестве своих работников, их уровне образования и результатах пройденной аттестации;
  • информация о состоянии здоровья гражданина напрямую связана с его допуском к определенной работе. Например, работники сферы образования должны проходить регулярное медицинское освидетельствование, о чем извещается работодатель;
  • обработку данных осуществляет Прокуратура в рамках возложенных на нее законодателем полномочий;
  • обработка данных связана с личностями членов семьи работника, указанных в карточке Т-2. Сюда относятся случаи взыскания алиментов, предоставления дополнительных выплат, оформления допуска к закрытым сведениям и пр.;
  • трудовые обязанности гражданина напрямую связаны с обработкой данных;
  • в организации применяются особые формы предоставления доступа на отдельные территории, требующие обработки данных;
  • существует непосредственная и прямая угроза жизни работника и его здоровью, и ее устранение требует передачи другим лицам личной информации о гражданине. Другие подобные случаи могут быть оговорены в законе;
  • обрабатываются данные сотрудников, уже уволенных из организации, – обычно речь идет о работе бухгалтерии;
  • обрабатываемые данные были переданы работником в обычных документах при оформлении приема на работу согласно ст. и ч. 4 ст. 275 ТК РФ.

Рекомендации Роскомнадзора более глубоко рассматривают каждый из приведенных пунктов. Для лучшего понимания их сути рекомендуется изучить эти положения полностью.

Далее будут приведены отдельные положения из данных рекомендаций. Они касаются необходимости согласия сотрудника на передачу его личных данных по запросу от государственных органов, а также компаний, которые изначально такими правами не обладают.

Запомните! Сведения предоставляются без получения согласия гражданина, если их запросили в пределах своей компетенции: правоохранительные органы, надзорные органы (в том числе Прокуратура и Государственная Инспекция труда), органы системы государственной безопасности, а также другие органы, правомочия которых в этой сфере были закреплены на федеральном законодательном уровне.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае если персональные данные указаны не точно или обнаружена их несанкционированная обработка, оператор должен актуализировать информацию или прекратить обработку персональных данных. В этой связи пропишите в политике, что ваша компания обязана внести изменения, уничтожить или блокировать данные, если субъект представит вам сведения о том, что данные устарели, недостоверны или получены незаконно. Пропишите срок, в течение которого субъект должен сообщить эти сведения.

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов и обращений.

Читайте также:  Как правильно дарить имущество?

Политика утверждается приказом руководителя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись. Напомним еще раз, что Политика обязательно должна быть размещена на сайте компании.

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных»[1]. Рассмотрим наиболее значимые пункты:

  • обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн;
  • закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе;

Автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия на это! Можно считать классическим примером обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением;

Кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования (ФСС), когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права;
  • Последний принцип, на котором надо остановиться, закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Что значит обработка персональных данных: порядок, участники процесса

Персональные данные — это любые сведения личного характера, относящиеся к конкретному физическому лицу. В законе «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) отсутствует точный перечень таких сведений.

В качестве примера можно назвать следующие:

  • фамилия, имя, отчество;
  • адрес места жительства;
  • профессия и доход;
  • дата рождения, любые значимые даты (вступление в брак, рождение детей и т. д.);
  • реквизиты документов, удостоверяющих личность;
  • права на объекты недвижимого имущества;
  • биометрические данные и многие другие.

В процессе деятельности граждане практически постоянно обмениваются своими данными и вынуждены предоставлять их всюду: при устройстве на работу — работодателю, при оплате коммунальных платежей — управляющей компании и поставщикам услуг, при заключении любых договоров — контрагентам, оказывающим услуги.

Важно! Под обработкой персональных данных следует понимать любые действия и операции, которые с ними производятся.

Перечень возможных способов обработки персональных данных приведен в ст. 3 закона № 152-ФЗ и не является исчерпывающим:

  • запись;
  • хранение;
  • распространение и передача;
  • удаление;
  • изменение и др.

Эти действия могут производиться как с использованием автоматизированной техники, так и без него.

Изданный в организации документ должен быть доступен для ознакомления всем работникам. На практике обычно он размещается на специальном стенде, где доступ к нему имеют и работники, и посетители.

Знайте! Закон предусматривает возможность любого гражданина направить в организацию запрос относительно того, ведет ли она обработку его данных. Также он вправе узнать, как и с какой целью осуществляется этот процесс. Также законодатель позволяет физическому лицу установить запрет на обработку его личной информации.

Получив от субъекта персональных данных любой запрос или запрет подобного рода, оператор обязан дать ему обоснованный ответ. Более подробно эти моменты рассмотрены в статьях 20 и 21 Закона № 152-ФЗ.

Можно ли отказаться от обработки персональных данных с позиции закона

Гражданин вправе отказаться от обработки его данных без каких-либо правовых последствий такого решения. Ст. 9 указанного выше закона говорит о том, что согласие должно быть добровольным.

Ч. 5 ст. 6 уже упомянутого закона разрешает работодателю обрабатывать сведения о работнике без его официального согласия, если это связано с исполнением трудового соглашения. Работодатель вправе производить такие действия без дополнительного согласия гражданина. Положение касается только лиц, принятых в штат компании.

Важно осознавать последствия отказа от обработки данных в каждом отдельном случае. Если речь идет об оформлении приема на работу, такое решение станет причиной отказа в заключении трудового договора.

Работодатель не обязан заключать трудовой договор при отсутствии возможности работать с информацией. Также отказ подобного рода может отрицательно сказаться на работе, если в организации введен пропускной режим. В таком случае несогласие с обработкой данных влечет невозможность получения и обновления прав доступа к конкретному объекту.

Читайте также:  Какие налоги платит работодатель за работника

Такой работник не может выполнять закрепленные за ним трудовые обязанности, следовательно, не в состоянии продолжать работу в организации, не имея прав доступа.

Внимание! Наши квалифицированные юристы окажут вам помощь бесплатно и круглосуточно по любым вопросам. Узнайте подробности здесь.

Что такое персональные данные?

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
другая информация (см. ФЗ-152 , ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Состав персональных данных работника

Ч. 2 ст. 86 ТК РФ предписывает устанавливать количественный и качественный состав персональных данных сотрудника исходя из Конституции России и соответствующих ей законов.

Работа с личной информацией сотрудников заключается в использовании документации двух типов:

  • представляемой гражданином при трудоустройстве в соответствии со ст. 65 ТК РФ. Сюда включаются личные фотографии, информация о рождении, принадлежность к гражданам страны, сведения о семейном статусе, адресе регистрации, полученном образовании и присвоенной специальности. Соответственно, это паспорт гражданина России, свидетельство СНИЛС, документ военнообязанного лица (военный билет) и пр.;
  • составляемой администрацией предприятия без участия гражданина. Речь идет о документации в сфере учета рабочего времени и оплаты труда. Сюда относятся разного рода приказы, издаваемые руководством, карточка сотрудника, табели и платежные ведомости.

Как работать с персональными данными работника, чтобы не оштрафовали

Работодатель, принимая персональные данные[1] от работника, обязуется хранить и обрабатывать их определенным образом. За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.

Каждый человек имеет определенный «набор» информации, с помощью которой его можно идентифицировать: Ф.И.О., дата рождения, образование, семейное положение, национальность, религия и многое другое.

Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.

Организуем работу с персональными данными сотрудников

Все организации, у которых в штате есть сотрудники, сталкиваются с обработкой персональных данных.

Рассмотрим, какие именно сведения и документы содержат персональные данные работников, которые необходимо защищать от несанкционированного доступа, а также как организовать систему их защиты и какую ответственность понесут работодатель и работник, ответственный за сохранность данных, в случае нарушений.

Одним из видов охраняемой законом информации являются персональные данные. Как гласит ст. 23 Конституции РФ, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Но всякая ли информация будет защищаться? Посмотрим, каков порядок получения, хранения, защиты и передачи персональных данных.

В п. 1 ст. 3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) указано, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Как видите, конкретного перечня нет, достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.

Там же указано, кто обязан принимать меры по защите персональных данных.

Это и государственные органы, и юридические и физические лица, которые обрабатывают персональные данные, с использованием средств автоматизации или без них, если обработка персональных данных позволяет осуществлять поиск персональных данных.

Таким образом, практически все организации так или иначе сталкиваются с обработкой персональных данных1 как своих сотрудников, так и клиентов (при оформлении бонусных или скидочных карт). В этом случае их ­называют операторами (п. 2 ст. 3 Закона № 152-ФЗ).

Ответственный за обработку персональных данных в организации

Ответственный за обработку персональных данных – это определенный сотрудник организации, на которого в официальном порядке были возложены важнейшие обязательства в отношении надлежащего сбора и хранения личных сведений.

Сразу следует отметить, что никаких особых требований к вышеуказанному лицу действующими законодательными нормами установлено не было. Это означает, что работодатель сам вправе принять решение о том, на кого именно из сотрудников будут возложены соответствующие обязательства. Как показывает современная практика, в большинстве случаев они возлагаются на сотрудников кадрового делопроизводства. Это вполне объяснимо, ведь именно работники кадровых отделов чаще всего имеют дело с личными сведениями сотрудников. Сюда можно отнести, например, информацию, которая содержится в их трудовых книжках, личных карточках учета, а также в иных материалах.

Вне зависимости от того, какой именно сотрудник был выбран работодателем в качестве ответственного за персональную обработку данных, сама процедура возложения на него соответствующих обязательств всегда должна осуществляться в официальном порядке. Для этого работодателем составляется письменное распоряжение, с помощью которого и происходит возложение всех обязательств.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *