Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Как происходит обработка персональных данных?
Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».
Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:
- соблюдение требований актуального законодательства;
- цель обработки необходимо определить и озвучить субъекту заранее;
- собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
- оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
- после достижения финальной цели данные нужно уничтожить.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Суть охраны персональных данных в 2020 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”.
Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 Закона).
В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), лучше оформить такое согласие письменно.
Если у работодателя уже есть согласие работника на обработку персональных данных, то получать новый документ на 2019-2020 год не нужно.
В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.
Кто такие операторы и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Порядок оформления согласия на обработку персональных данных сотрудника
Разрешение на использование личных сведений чаще всего оформляется отдельным документом. Исключением из этого правила будет возникновение трудовых отношений с микропредприятиями и некоммерческими организациями (ст. 309.2 ТК РФ, Постановление Правительства РФ от 27.08.2016 № 858) — для них подобное соглашение будет частью типовой формы ТД. Централизованно утвержденного бланка нет, компании разрабатывают его самостоятельно с учетом требований законодательства. Перечень обязательных для заполнения реквизитов предусмотрен ч. 4 ст. 9 Закона о персональных данных.
Группа реквизитов | Перечень сведений |
---|---|
Идентификационные данные работника | • ФИО; • адрес проживания сотрудника; • данные удостоверяющего личность документа. |
Информация о нанимателе | • название предприятия; • ФИО ИП; • юридический адрес. |
Направления применения сведений | Цели работодателя в части обработки персональных данных в соответствии с видом деятельности, конкретными бизнес-процессами. |
Список подлежащей обработке информации | Конкретное наименование персональных данных, которые планируется использовать в работе. |
Список операций со сведениями, на совершение которых работник дает разрешение и описание способов их обработки | • сбор; • запись; • систематизация; • хранение; • предоставление доступа и т.д. |
Время действия разрешения | Обозначается дата начала действия согласия. Период действия фиксируется либо конкретной датой, либо событием, после наступления которого он прекращается. Законодательство никак не ограничивает максимально допустимый срок использования личной информации. |
Порядок отзыва согласия | Способ и форма направления отзыва. |
«Приорбанк» ОАО, 220002, Республика Беларусь, г. Минск, ул. В.Хоружей, 31А (далее – Оператор), осуществляется обработка (включая сбор, систематизацию, хранение и использование) следующих персональных данных соискателя: фамилия, имя, отчество, дата и место рождения, гражданство, пол, семейное положение, количество детей и их возраст, адрес проживания, контактные данные (номера телефонов, адрес электронной почты), информация об образовании, квалификации, опыте работы, требования соискателя к новой работе. Дополнительно (на основании отдельного согласия) может обрабатываться информация о привлечении к административной или уголовной ответственности соискателя.
Персональные данные будут использованы Оператором с целью оценки соискателя, а также для контактирования с ним в процессе подбора персонала. Персональные данные могут обрабатываться как с использованием средств автоматизации, так и без их использования.
Персональные данные, полученные Оператором, доступны сотрудникам Оператора, имеющим на то право в соответствии с их должностными обязанностями.
Доступ к персональным данным может быть предоставлен Уполномоченным лицам, оказывающим Оператору услуги по подбору персонала. Все Уполномоченные лица будут обращаться с персональными данными соискателя как с конфиденциальной информацией и обрабатывать их только в рамках предоставления соответствующих услуг, в соответствии с инструкциями Оператора. Актуальный перечень Уполномоченных лиц размещен на сайте банка, а также может быть предоставлен для ознакомления в подразделении банка, отвечающем за работу с персоналом.
Доступ к данным, в объеме и на условиях, определенных законодательством Республики Беларусь, может быть предоставлен государственным органам и учреждениям, надзорным органам.
Обработка персональных данных соискателя является обязательным условием для рассмотрения его анкеты. Отказ от предоставления согласия на обработку персональных данных приведет к отказу Оператора от рассмотрения анкеты соискателя.
Согласие действительно на протяжении срока, указанного соискателем. Обработка персональных данных будет осуществляться на протяжении всего срока действия согласия, а также после его окончания, если это требуется в соответствии с законодательством.
На обработку какой информации нужно согласие?
К ПДн причисляют абсолютно все сведения, касающиеся человека (физического лица) и позволяющие отличить его от других граждан, а именно:
- имя, фамилия, отчество;
- день, месяц, год и место рождения;
- регистрационный адрес;
- семейное и финансовое положение;
- социальный статус;
- уровень доходов;
- имеющиеся обязательства (алиментные выплаты, кредиты и т.д.);
- образование;
- место работы и профессия, стаж;
- вероисповедание и национальность;
- состояние здоровья;
- вес, рост;
- фотографии, видео, голос;
- политические взгляды.
Информация может быть общедоступной, биометрической и специальной, а источниками и одновременно местами хранения ПДн являются различные документы:
- справки НДФЛ;
- паспорт (как российский, так и заграничный);
- военный билет;
- трудовая книжка;
- паспорт моряка;
- водительское удостоверение;
- карточка сотрудника (форма Т-2);
- заполненные анкеты;
- документы, подтверждающие состав семьи, образование и т.д.
Особенности работы с персональными данными
Работа с персональными данными предусматривает обязательность:
- наличия согласия лица, к которому эти данные относятся, на их обработку;
- выполнения обработки лишь для заранее определенных целей, разрешенных законодательством;
- соблюдения конфиденциальности информации о персональных сведениях;
- соблюдения сроков хранения, установленных для таких сведений;
- публикации и передачи сторонним лицам этих данных лишь с согласия их носителя (кроме ситуаций, когда такое согласие не требуется по законодательству).
Носитель персональных данных имеет право на:
- доступ к относящимся к нему сведениям;
- информацию о целях, порядке, ходе и результатах их обработки (кроме ситуаций, когда такое информирование запрещено законодательно);
- сведения об операторе, лицах, осуществляющих обработку от его имени, и сторонних источниках, из которых оператор получает сведения, относящиеся к персональным;
- отзыв выданного им согласия на обработку персональных данных;
- судебную защиту своих интересов при осуществлении оператором неправомерных действий с информацией персонального характера.
- Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
- Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
- Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
- Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.
Контрагенты, устанавливающие правоотношения с физическими лицами, должны требовать от них предоставить возможность осуществлять действия с использованием персональных данных – получение, сбор, обеспечение хранения и использования. Давая письменное согласие на осуществление второй стороной вышеозначенных действий, граждане России вправе получить гарантию того, что предоставленная ими информация не будет использована в противозаконных целях.
Данные о физическом лице, которые носят конфиденциальный характер, делятся на три категории:
- Общедоступные.
- Биометрические.
- Специальные.
Согласие заполняется, если физическое лицо:
- устраивается на новое место работы;
- получает услуги государственных организаций;
- заключает договора с учреждениями и организациями.
Согласие физического лица нужно, независимо от характера информации (открытая, конфиденциальная или закрытая).
Что входит в «персональные данные»?
В ФЗ-152 дано четкое определение, что такое персональные данные и какая информация относится к ним. Согласно этому законодательному акту к ним можно отнести:
- ФИО человека;
- паспортные данные и информацию из других документов человека;
- дата и место его рождения;
- характеристики личности (вероисповедание, состояние здоровья, наличие или отсутствие судимостей и др.).
Обычно, их принято условно разделять на три группы:
- Общедоступные. Установочные данные человека, место и дата его рождения, а также гражданином какой страны он является.
- Биометрические. Физиологические особенности организма человека, например, наличие у него группы инвалидности и его внешние биологические параметры
- Специальные. Включают в себя принадлежность человека к определенной национальности, его вероисповедание, здоровье. Сюда же в какой-то мере относится место его трудоустройство, а также привычки и судимости.
При этом согласие на обработку только, если собираются данные для хранения и использования из второй и третьей группы.
Что делать, если сотрудник отказывается подписывать согласие?
Иногда встречаются ситуации, когда при приеме на работу некоторые люди отказываются подписывать соответствующие документы из-за своих личных убеждений. В большинстве своем, они вызваны опасениями, связанными с возможным использованием персональных данных в целях, которые могут нанести вред их владельцу. Эти опасения связаны в основном с незнанием законов, которые, наоборот, призваны защитить его персональные данные.
Закон в этом случае гласит о том, что предприятие не имеет права трудоустроить такого человека, так как тем самым оно нарушает закон, и может быть привлечено к ответственности. Получается, что избежать этой процедуры не удастся, так как, согласно делопроизводству, на предприятии должны храниться ксерокопию документа, удостоверяющего личность, оригинал трудовой книжки, копия диплома, и другие, в зависимости от профессии. Все это персональные данные, согласие на обработку которых получено не было.
Единственный случай, когда можно применять обработку персональных данных без согласия их владельца, только в том случае, когда нужно реализовать новые цели по условиям договора, заключенного ранее, и это действует только с принятыми в штат сотрудниками.
В любой момент человек давший согласие на обработку персональных данных может написать заявление об отзывы написанного ранее документа, однако, никакого реального эффекта данная мера не имеет, так как человек получившие на это право может им пользоваться в полной мере.