5 основных правил по организации, обработке и хранению персональной информации

5 основных правил по организации, обработке и хранению персональной информации

5 основных правил по организации, обработке и хранению персональной информации

Каждая организация обрабатывает огромный массив информации. Не исключение — сведения о физических лицах. За нарушение законодательства о персональных данных организацию могут оштрафовать, подать в суд и причинить иные неприятности.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ (далее 152-ФЗ) исчерпывающего перечня персональных данных не содержит. Компаниям необходимо исходить из того, что это любые сведения, позволяющие опознать физическое лицо. В разъяснениях федеральных органов встречаются различные трактовки определения ПДн. Так, Министерство экономического развития в своем письме от 02.10.2015 N ОГ-Д28-12951 считает, что к персональным данным работника, помимо личных:

  • фамилии,
  • имени,
  • отчества,
  • даты и места рождения,
  • адреса,
  • семейного положения,

относятся сведения об:

  • образовании,
  • профессии,
  • занимаемой должности,
  • стаже работы.
Данные о сотрудниках также относятся к ПД

Роскомнадзор в своем письме от 07.02.2014 N 08КМ-3681 указывает, что персональными данными являются сведения о заработной плате.

Сведения, обрабатываемые организацией разделяются на две основные группы:

  • персональные данные работников организации;
  • персональные данные, попадающие в организацию в связи с ее деятельностью, например, персональные данные клиентов, контрагентов, посетителей сайта организации.

Согласно закону 152-ФЗ: организация, обрабатывающая такие данные самостоятельно или совместно с другими лицами, является — оператором персональных данных. Оператор и иные лица, получившие доступ к ПДн должны обеспечить конфиденциальность данных:

не допустить раскрытия информации и распространения без согласия физического лица — субъекта персональных данных.

Обработка ПД должна осуществляться только после получения согласия работника

Жизненный цикл обработки персональных данных сотрудников в организации

По общему правилу персональные данные обрабатываются с согласия физического лица. (п. 1 ч. 1 ст. 6 152-ФЗ). С момента поступления в организацию каких-либо сведений о физическом лице организация должна предпринять необходимые меры для сохранности и правомерной обработки таких сведений. Согласие на обработку ПДн должно быть конкретным и информированным. Не забывайте прописать в документе:

  • цели обработки ПДн,
  • способы обработки с указанием действий, совершаемых с ПДн,
  • объем обрабатываемых ПДн.

Давая согласие субъект персональных данных обозначает объем и границы обработки сведений для каждого конкретного случая их обработки, а работодатель обязует обрабатывать полученные данные только для целей и в объеме на которые оно получено.

Обязательная письменная форма согласия предусматривается только в случаях, указанных в федеральных законах, например, при обработке специальных категорий персональных данных (ст. 10 закона 152-ФЗ):

  • расовая принадлежность,
  • политические и религиозные взгляды,
  • состояние здоровья.

Если законом не предусмотрена письменная форма согласия, подойдет любая иная форма

  • устная,
  • включение соответствующего пункта в договор и т.д.

Единственное правило: перед началом обработки убедитесь, что для всех категорий обрабатываемых данных получено необходимое согласие работника.

При трудоустройстве, физическое лицо передает работодателю определенный набор документов, содержащих персональные сведения. Исчерпывающего перечня законодательство не содержит, но наиболее стандартный список указан в форме T2 — «личной карточке работника».

Обработка ПДн работника осуществляется в целях:

  • обеспечения соблюдения законов и иных нормативных правовых актов,
  • содействия работникам в трудоустройстве,
  • получении образования,
  • продвижении по службе,
  • обеспечения личной безопасности работников,
  • контроля количества и качества выполняемой работы,
  • обеспечения сохранности имущества.

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Все документы, регламентирующие обработку персональных данных сотрудников, размещаются для ознакомления работниками в открытом доступе. Из приведенных норм можно вывести следующее правило — разработайте и примите локальный нормативный акт, регулирующий сбор, обработку и хранения персональных данных, а также ознакомьте с ним под роспись всех работников.

Работник вправе отозвать согласие об обработке персональных данных, в соответствии с частью 2 статьи 9 закона 152-ФЗ». Может ли в данном случае он продолжить работать на этого работодателя? Согласно этой же части, оператор вправе продолжить обработку персональных данных без согласия субъекта, при наличии оснований, предусмотренных федеральным законом, в том числе и для исполнения договора, стороной которого является субъект ПДн (пункт 5 части 1 статьи 6 152-ФЗ). Таким договором может быть трудовой договор и работодатель вправе продолжить обрабатывать персональные данные работника, без его согласия в целях и объеме необходимых для исполнения указанного договора.

В силу ст. 88 ТК РФ доступ к персональным данным работников должны иметь только специально уполномоченные лица. При этом указанные лица вправе получать только те сведения, которые необходимы для выполнения конкретных функций. Помимо этого, лица, получающие персональные сведения работника, обязаны соблюдать режим конфиденциальности. Ответственные сотрудники должны быть назначены приказом, а документы, определяющие политику в области обработки персональных данных должны быть доступны для всех сотрудников организации. Например, работодатель планирует установить в офисе видеонаблюдение, для этого работодателю необходимо принять акт, регламентирующий порядок видеонаблюдения и назначить ответственных за сбор таких данных. Важно, чтобы ответственные работники были ознакомлены с правилами обработки и хранения персональных данных, принятыми в организации, а также о режиме конфиденциальности, в отношении персональных данных работников. Создание в организации эффективной политики в области сбора, обработки и хранения персональных данных поможет избежать множества негативных последствий для организации.
У вас есть вопросы по разработке ОРД — пишите в комментариях. Мы с радостью на них ответим.

Особенности обработки и защиты персональных данных соискателей и уволенных сотрудников

Помимо персональных данных своих сотрудников в организацию, как правило, попадают множество персональных данных других лиц, например, соискателей. Обработка ПДн соискателя должна осуществляться с его согласия. Из общего правила есть несколько исключений:

  • Интересы потенциальных кандидатов на вакансию представляет кадровое агентство;
  • Кандидат на вакансию разместил свое резюме в открытом доступе.

Если соискатель направляет свое резюме по электронной почте или факсу работодателю рекомендуется установить факт направления резюме соискателем лично. Получать согласие необходимо

  • в случае направления запросов по прежним местам работы,
  • для уточнения или получения дополнительной информации о соискателе.

Если по какой-либо причине соискатель не трудоустраивается, все предоставленные им сведения должны быть уничтожены в течение тридцати дней.

Обработка персональных данных уволенных сотрудников возможна только в определенных законом случаях:

  • документы, необходимые для исчисления, удержания и перечисления налогов хранятся в течение 4-х лет;
  • базы данных отпусков хранятся пять лет;
  • приказы о дисциплинарных взысканиях три года;
  • трудовые договоры хранятся семьдесят пять лет, если делопроизводство по ним закончено 1 января 2003 года и пятьдесят лет, если позже;

Как и в случае с претендентами на вакансию, так и с действующими и уволенными работниками важно обрабатывать персональные данные только в том объеме, в каком это необходимо для целей обработки.

Согласие на передачу персональных данных работника третьим лицам

По общему правилу работодатель не вправе сообщать персональные сведения о работнике третьим лицам, без его согласия. Исключениями являются случаи, предусмотренные трудовым законодательством и иными законодательными актами.

  • передача персональных данных в ПФР или ФСС России (абз. 15 ч. 2 ст. 22 ТК РФ);
  • налоговые органы (ст. 24 НК РФ);
  • при получении мотивированного запроса судебного пристава (ст. 64 ФЗ «Об исполнительном производстве»);
  • заключении договора с провайдером (ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ «О связи»).

Все случаи передачи персональных данных физического лица без его согласия это как правило императивные предписания законодательных актов. Если нормы, предписывающей обязанность передать какие-либо сведения, содержащие персональные данные, нет, то согласие физического лица на передачу его данных придется получить.

Помимо императивных предписаний о раскрытии сведений, содержащих персональные данные, согласие может не требоваться, когда сведения передаются в целях предупреждения угрозы жизни и здоровью работника. Например, работник не появился на рабочем месте и его местонахождение не известно. Работодатель может направить запрос в медицинские организации и органы внутренних дел с указанием информации о работнике и это не будет нарушением правил хранения персональных данных.

При заключении договора зарплатного проекта с кредитной организацией или на выпуск платежных карт для сотрудников работодатель не вправе передавать кредитной организации персональные данные работников. Работник сам даст согласие банку, либо банк включит пункт об обработке персональных данных в договор, подписываемый сотрудником. Аналогично работодатель должен получить согласие всех работников, если в организации кадровый или бухгалтерский учет поручен сторонней организации. Исходя из правил, предусмотренных трудовым законодательством, а также корреспондирующими с ним положениями закона 152-ФЗ работодателю необходимо спрашивать согласие у работника для каждого конкретного случая передачи персональных данных.

За нарушение требований обработки персональных данных предусмотрены следующие виды ответственности:

  • Дисциплинарная
  • Материальная
  • Административная
  • Уголовная

Дисциплинарная ответственность заключается в том, что сотрудник, имеющий доступ к персональным данным и передавший их, без получения согласия физического лица может быть уволен по инициативе работодателя, как за грубое нарушение работником трудовых обязанностей (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Существенным условием увольнения работника по этому основанию будет раскрытие работником сведений, которые он обязывался не разглашать. (п. 43 Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2). При оспаривании работником увольнения в суде, работодатель должен факт нарушения правил обработки персональных данных сотрудником, уполномоченным на их обработку. Так при рассмотрении дела о восстановлении на работе сотрудника, уволенного за разглашение персональных данных другого сотрудника, суд указал что представление доказательств в порядке ст. 56 ГПК РФ, включающих в себя персональные данные других сотрудников организации, для защиты своих трудовых прав, не свидетельствует о раскрытии работником персональных данных других работников неопределенному кругу лиц в рамках трудового спора. Они лишь свидетельствуют о предоставлении работником доказательств в обоснование своей правовой позиции суду при рассмотрении его исковых требований об оспаривании дисциплинарного взыскания. (Апелляционное определение Московского городского суда от 20.11.2018 по делу N 33-44167/2018)

За нарушение правил обработки персональных данных организацию или должностное лицо могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Составлять протоколы об административном правонарушении уполномочены должностные лица Роскомнадзора, а привлекать к ответственности судьи мировых судов. Срок давности за совершение данного правонарушения составляет три месяца. Должностное лицо, ответственное за обработку персональных данных может быть привлечено к административной ответственности, за не размещение в открытом доступе документа, определяющего политику в отношении персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. (Постановление Тюменского областного суда от 14.11.2017 N 4А-598/2017).

Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена по следующим статьям Уголовного кодекса:

  • Нарушение неприкосновенности частной жизни;
  • Отказ в предоставлении гражданину информации;
  • Неправомерный доступ к компьютерной информации.

Субъектом уголовного преступления может быть только физическое лицо, однако привлечение виновного работника к уголовной ответственности не освобождает от административной ответственности организацию.

Как правило, дело об административном правонарушении возбуждается после проведения уполномоченным органом проверок организации. Инспекторы надзорного органа могут оштрафовать организацию за отсутствие у нее документов, регламентирующих политику в области обработки персональных данных, а также несоответствие таких документов законодательству, осуществление обработки или передачи данных третьим без согласия на то физических лиц субъектов персональных данных.

Если у вас остались вопросы, появились предложения, замечания, наблюдения — не раздумывая, пишите нам в комментариях. Мы с удовольствием решим эту задачу 🙂

5 основных правил по организации, обработке и хранению персональной информацииВ последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *