Персональные данные работника: что важно знать об этом

27.01.2023
Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные работника: что важно знать об этом». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Рекомендации по сбору и хранению персональных данных
2. Обработка персональных данных
3. Риски при нарушении требований к обработке персональных данных работников организации
4. Что изменится с 1 марта 2023
5. Сколько согласий запрашивать?
6. Требования к согласию
7. Особенности использования персональных данных работодателем
8. Обновление правил обработки персональных данных работников: что изменилось в 2021 году
9. Какие существуют требования по обеспечению защиты ИСПД?
10. В каких случаях потребуется уведомление Роскомнадзора
11. Новые штрафы за персональные данные для операторов
12. Юридические санкции за нарушение защиты персональных данных работника
13. Право работодателя на запрос информации

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии.

Что нужно сделать в обязательном порядке:

  • разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
  • издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
  • назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
  • собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
  • организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Читайте также:  Соцпакет для инвалидов 2 группы в 2023 году в денежном выражении входит в прожиточный минимум?

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Читайте также:  Программа переселения в сельскую местность в 2023 году

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Особенности использования персональных данных работодателем

Разобраться в тонкостях использования, хранения и распространения ПДн персонала могут только опытные кадровики и юристы, но есть моменты, о которых важно знать всем:

  • любые действия в отношении личных сведений осуществляются после получения согласия на обработку (кроме определенных случаев, прописанных в ФЗ-152);
  • если субъект недееспособен либо частично дееспособен, то подпись может поставить законный или уполномоченный представитель;
  • в отдельных случаях (не соответствующих целям, прописанным в ТК РФ) даже согласие субъекта не дает права оператору передавать третьим лицам ПДн;
  • в согласии нужно четко прописывать цели, методы и применяемые средства совершения операций с конфиденциальными сведениями;
  • обойтись без разрешения работника можно, если ПДн получены из документов, которые субъект предоставил во время подписания трудового договора, либо от кадрового агентства, с которым официально сотрудничает соискатель;
  • следует обязательно проинформировать работников о правилах и специфике работы с ПДн, прописанных в локальных нормативно-правовых актах;
  • должен быть человек, ответственный за решение вопросов в сфере обработки личных данных работников;
  • регулярно требуется проводить оценку применяемых средств защиты ПДн и устранять угрозы безопасности.

Обновление правил обработки персональных данных работников: что изменилось в 2021 году

Если вы работодатель, и персональные данные сотрудников приходится обрабатывать регулярно, то нужно постоянно проводить мониторинг законодательной базы. Изменения 2021 года не коснулись основных принципов, в частности, нельзя требовать информацию, которая не нужна для исполнения рабочих обязанностей, в частности, нарушением считается выяснение религиозных и политическим предпочтений, деталей интимной жизни или национальной принадлежности. Также государство оставляет право произвольного составления формы согласия на обработку ПДн, но при этом нужно дополнительно получать документ, разрешающий распространять личные сведения. Специальное согласие позволяет размещать информацию на виртуальных ресурсах, причем отсутствие реакции от субъекта не может интерпретироваться как положительный ответ на запрос о распространении ПДн. Требование распространяется даже на сведения, которые гражданин публикует на открытых онлайн площадках, в частности, в мессенджерах и социальных сетях.

Среди других нововведений следует отметить:

  1. Вступление в силу ФЗ-248, который определяет новый механизм осуществления инспекционных проверок, а также Постановления Правительства № 1046, где четко прописывается порядок проверочных мероприятий.
  2. Возможность распространения ПДн без дополнительного согласия только ПФР, правоохранительным и другим государственным органам. Персональные данные работника являются информацией, которая не может передаваться свободно третьим лицам.
  3. Предоставление субъекту права отказать в разрешении на распространение личных сведений. Одновременно с этим, если законом на работодателя возложены обязательства по сбору и хранению ПДн, то совершать эти операции можно и без согласия.
  4. Наличие двух способов оформления согласия — при помощи ИС Уполномоченного органа либо в письменном виде с оригиналом подписи физлица.
  5. Подключение оператора к системе Роскомнадзора для получения информации, необходимой для предусмотренных законом целей обработки без непосредственного взаимодействия с субъектом.
  6. Требование составлять отдельное согласие для распространения ПДн каждому третьему лицу, то есть нельзя попросить сотрудника заполнить и подписать один документ для разных целей и сразу нескольких вариантов использования конфиденциальных данных.
  7. Обязательство предприятия остановить обработку персональных данных сотрудников в течение 3 дней после поступления официального заявления с соответствующим требованием от владельца ПДн. При неисполнении данного условия субъект может отправить исковое заявление в судебный орган для защиты своих прав.
  8. Увеличение в 2 раза штрафов за различные нарушения, включая неполучение согласия и продолжение использования ПДн после поступления заявления с требованием о прекращении обработки.

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором.

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

Читайте также:  Судебные решения по банкротству физ лиц

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

В каких случаях потребуется уведомление Роскомнадзора

Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.

Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.

Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.

Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.

Новые штрафы за персональные данные для операторов

Новые требования к обработке персональных данных 2022 повлекли новую ответственность для операторов.

Изменения внесли в статью 14.8 Кодекса РФ об административных правонарушениях (Федеральный закон от 28.05.2022 N 145-ФЗ). Действовать они будут с 01 сентября 2022 года.

Ответственность грозит операторам, которые отказались заключить, исполнить, изменить или расторгнуть договор с потребителем из-за его отказа предоставить ПД. За такие действия компанию могут оштрафовать на сумму от 30 до 50 тысяч рублей, а должностное лицо – от 5 до 10 тысяч рублей.

Важно учитывать, что ответственность не наступает, когда:

  • потребитель был обязан сообщить ПД согласно требованиям федеральных законов или других правовых актов,
  • предоставление данных непосредственно связано с исполнением договора.

Юридические санкции за нарушение защиты персональных данных работника

Работа с персональными данными предполагает наказания за пренебрежение кибербезопасностью, нарушение правил ведения традиционного (бумажного) документооборота как для наемного сотрудника, так и для работодателя. Строгость санкций зависит от тяжести совершенного правонарушения.

Виды ответственности, возлагаемые на работника в случае нарушений:

  • материальная. Наступает в случае разглашения некоторых персональных данных других работников. Составляет полную сумму причиненного ущерба. Обычно применяется сравнительно редко ввиду сложности точной оценки этого ущерба;
  • дисциплинарная. Наступает, если работник разгласил коммерческую тайну или личную информацию, которую он получил в трудовом процессе. Данное взыскание накладывается работодателем. В случае, когда оператор определяет, что вина сотрудника сравнительно невелика, допускается возможность вынесения выговора без увольнения работника;
  • административная. Если порядок процедуры работы с данными нарушен, предусматривается наложение административного штрафа по КоАП РФ;
  • уголовная. Подробно этот вид ответственности прописан в статье 137 УК РФ и накладывается в виде штрафа в размере до 200 тыс. рублей, дифференцированного по тяжести срока заключения либо общественных работ.

Четкое знание и выполнение всех требований законодательства, касающегося обработки персональных данных работника, позволит избежать любого вида ответственности как оператору, так и сотруднику.

Право работодателя на запрос информации

Сторона работодателя наделена возможностью осуществлять официальный запрос любой информации, которая содержит в себе личные сведения о подчиненных. Для получения такой информации уполномоченное лицо может обратить в различные государственные учреждения, среди которых:

  • заведения, которые осуществляют медицинскую и социальную экспертизу. Такие случаи допустимы, если в особой трудовой рекомендации, которая устанавливается на основе программы реабилитации сотрудника с инвалидностью в индивидуальном порядке, выступают вопросы о возможности эксплуатации инвалида в конкретных трудовых условиях.
  • Государственные медицинские заведения, которые уполномочены выдавать беременным женщинам заключение, регламентирующее перевод на новую должность, для дальнейшего определения вида занятости и допустимого объема работ для сотрудницы.

Таким образом, для законной передачи и использования личной информации о сотрудниках работодатель должен в обязательном порядке получить письменное согласие от имени подчиненного, если иные случаи не предусмотрены трудовым законодательством.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *