Ответы на частые вопросы, которые задают работодатели при обработке персональных данных сотрудников. Трудовые отношения между работодателем и работником неразрывно связаны с обработкой персональных данных, которые работодатель при приеме сотрудников в организацию должен собирать, хранить, передавать и т.д.
В данной статье мы решили ответить на вопросы, которые чаще всего возникают у работодателя при обработке персональных данных сотрудников.
Как быть, если при заключении трудового договора работник отказывается дать согласие на обработку его персональных данных? Либо если работник сначала дал свое согласие, но позже отозвал его – ведь по закону работодатель обязан передавать сведения о работнике в государственные органы, например, в Пенсионный фонд?
Прежде всего, необходимо помнить, что работодателю не требуется получать согласие работника на обработку таких сведений о нем, как фамилия, имя, отчество, паспортные данные, номер телефона, адрес места проживания, либо иных сведений, не относящихся к категориям специальных или биометрических персональных данных, при условии, что обработка этих сведений осуществляется работодателем в целях исполнения трудового договора.
Так, не требуется получать согласие на обработку персональных данных (например, паспортных данных) от юриста при оформлении доверенности для представления интересов организации в судебном процессе. Также без согласия работников осуществляется передача персональных данных в Фонд социального страхования РФ и Пенсионный фонд РФ. Стоит отметить, что работодатель также освобождается от получения согласия работника на обработку специальной категории персональных данных в случаях, когда обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством и пенсионным законодательством РФ.
Так, например, работодателю, являющемуся медицинской организацией, не нужно получать согласие своих работников на опубликование и размещение сведений об уровне их образования и квалификации, потому что обязанность по размещению данной информации предусмотрена федеральным законом. Работодатель имеет право обрабатывать сведения о состоянии здоровья работника без его согласия и в том случае, если такие сведения влияют на возможность выполнения работником своей трудовой функции.
Например, получение работодателем информации о результатах предрейсового и послерейсового медицинского осмотра водителя не будет являться нарушением законодательства об обработке персональных данных, поскольку такая информация необходима работодателю для определения пригодности работника к выполнению его должностных обязанностей. Нам часто звонят из банков, где работник хочет взять кредит, или из визовых центров, куда работник обратился за визой, и спрашивают, числится ли в штате сотрудник и каков размер его заработной платы.
Можем ли мы давать такую информацию без согласия работника? Сообщение информации банку или визовому центру о наличии трудовых отношений с каким-либо работником, равно как и подтверждение или опровержение такой информации, а также указание размера заработной платы является передачей персональных данных работника. Предоставление этих сведений банку и визовому центру не обусловлено исполнением трудового договора с указанным работником, поэтому может осуществляться только с его письменного согласия. Мы предоставляем своим работникам добровольное медицинское страхование.
Для этого мы передаем страховой компании персональные данные наших работников.
Должны ли мы получать согласие работников на это? Да, должны, поскольку эти действия не связаны непосредственно с исполнением трудового договора с работником и не являются обязательными в рамках трудового законодательства. Аналогично только при наличии согласия работника возможна передача работодателем его персональных данных банку в целях перечисления заработной платы, типографской организации для оформления визиток и т.д. Мы получили запрос из прокуратуры о предоставлении информации о нашем работнике.
Нам нужно получать его согласие? Нет, не нужно. Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, от государственных инспекторов труда и иных органов, уполномоченных запрашивать информацию о работниках в соответствии со своей компетенцией. Мы привлекли стороннюю организацию для ведения кадрового и бухгалтерского учета.
Требуется ли согласие работников на передачу их персональных данных этой организации? Да, согласие работников необходимо, поскольку в данной ситуации работодатель поручает обработку персональных данных другому лицу, что допускается только при наличии согласия работника. Соискатель прислал резюме на вакансию, открытую в нашей компании.
Можем ли мы хранить его резюме или иным образом обрабатывать персональные данные, содержащиеся в резюме, без согласия соискателя? Нет. Обработка персональных данных соискателя на период принятия работодателем решения о приеме либо отказе в приеме на работу может осуществляться только с согласия соискателя. В случае отрицательного решения сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя составляет 3 года.
А если мы нашли резюме соискателя на сайте для поиска работы? Соискатель разместил свое резюме в интернете, тем самым сделав его доступным неограниченному кругу лиц. В этом случае закон не обязывает работодателя получать согласие соискателя на обработку данных из его резюме.
СКАЧАТЬ шаблон согласия на обработку персональных данных: СОГЛАСИЕ.doc
10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор
Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.
Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных
Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).
Ошибка № 2. Не назначили ответственного за обработку персональных данных
Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).
Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным
Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.
Ошибка № 4. Собираете и храните лишние документы
Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.
Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).
Ошибка № 5. Не проводите внутренний аудит работы с персональными данными
Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.
Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных
Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.
Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных
Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.
Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных
Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.
Ошибка № 9. Не утвердили перечень мест хранения персональных данных
Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.
Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных
Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Согласие на обработку персональных данных должно содержать:
- ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
- ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).
- Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.
- Цель обработки персональных данных.
- Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
- Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.
- Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.
- Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
- Подпись субъекта персональных данных.
