Бесплатная горячая линия

8 800 301 63 12
Главная - Трудовое право - Документы по работе с персональными данными у работодателя

Документы по работе с персональными данными у работодателя

Документы по работе с персональными данными у работодателя

Как организовать работу с персональными данными сотрудников


→ → → Добавить в «Нужное» Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 23 ноября 2018 г.

А.В. Кононенко,юристС самого начала своей работы каждая компания получает и обрабатывает персональные данные.

И первые сведения, с которыми она сталкивается (причем еще на стадии подбора персонала), — персональные данные работников. При этом штрафы за недочеты в работе с этими сведениями довольно суровые.

Поэтому важно знать, каким образом надо организовать работу, чтобы таких штрафов избежать.

Упомянутые в статье разъяснения Роскомнадзора можно найти: Положение о работе с персональными данными (Положение) — это локальный нормативный акт, который обязательно должен быть в организации; (далее — Закон № 152-ФЗ).

В нем подробно прописываются правила обработки, хранения и использования организацией персональных данных (ПД) работников компании.

Если в организации не будет принято такое Положение, ее и генерального директора могут привлечь к административной ответственности. Универсальной формы этого документа нет, поэтому каждая организация должна самостоятельно разработать и утвердить его. Обычно Положение состоит из следующих разделов.

Общие положения. В этом разделе нужно прописать цели принятия Положения, например:

«Определить порядок обращения с персональными данными работников»

. Также нужно перечислить, что относится к таким данным. Нужные формулировки можно взять из ст.

3 Закона № 152-ФЗ. Основные понятия.

Все понятия можно взять также из ст. 3 Закона № 152-ФЗ. Состав персональных данных.

В этом разделе необходимо перечислить, какие документы содержат персональные данные работников. Например, это: •документы, необходимые для заключения трудового договора; •оригиналы и копии приказов и распоряжений; •личные дела и трудовые книжки; •налоговая, статистическая и иная отчетность.

Работодатель должен не только стоять на защите персональных данных работников, но и обезопасить себя. Поэтому лучше оформлять согласие на обработку ПД даже тогда, когда законодательство этого не требует Обработка персональных данных.

Под обработкой персональных данных подразумеваются действия с ними, в том числе их сбор, накопление, систематизация, хранение, использование, удаление и уничтожение.

В этом разделе нужно назвать условия, которые должны соблюдаться при обработке персональных данных. Их можно переписать из ст. 6 Закона № 152-ФЗ. Передача персональных данных.

В этом разделе укажите, по каким правилам вы передаете персональные данные работников внутри организации и третьим лицам, а также получаете сведения от этих лиц. Тут же нужно указать, где и как хранятся персональные данные. Чаще всего они хранятся и обрабатываются в отделе кадров и бухгалтерии в бумажном или электронном виде.

Доступ к персональным данным. В этом разделе нужно указать, кто из сотрудников имеет доступ к персональным данным.

Обычно это руководитель организации, сотрудники бухгалтерии и отдела кадров, начальник структурного подразделения, где работает человек, чьи персональные данные обрабатываются. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность.

В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность.

Ознакомьте всех работников (в том числе и тех, кого только принимаете на работу) с Положением, . Подтверждением того, что работник с ним ознакомился, будет его подпись: •или в трудовом договоре, если в нем есть ссылка на Положение; •или в листе ознакомления с Положением; •или в журнале ознакомления с локальными актами.

Внимание Не стоит путать Положение о работе с персональными данными с Политикой обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех (а не только полученных от работников) персональных данных.

О том, как составить Политику обработки персональных данных, мы рассказали в статье

«Как составить Политику обработки персональных данных»

(см.

, ).

Согласие на обработку ПД нужно получить, когда организации требуется информация о работнике, помимо той, которая необходима, чтобы заключить и исполнить трудовой договор. Так, не требуется согласие на обработку персональных данных работника или соискателя, если они получены, ; (далее — Разъяснения): •из документов, предъявляемых при заключении трудового договора (паспорт, трудовая книжка, свидетельство пенсионного страхования, документы воинского учета, документы об образовании); •по результатам обязательного предварительного медицинского осмотра, удостоверяющего состояние здоровья; ; •от кадрового агентства, действующего от имени соискателя; •из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц; ; •при обработке персональных данных близких родственников в объеме, предусмотренном унифицированной формой № Т-2, либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

Внимание За обработку персональных данных работника без его письменного согласия организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а ее руководителя — от 10 000 до 20 000 руб.

Но потребуется письменное согласие: •для получения ПД работника у третьей стороны; •для передачи ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях, например для целей исполнительного производства, персонифицированного учета или расследования преступлений; ; ; ; •для обработки специальных категорий ПД работника. К таким данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни; .

А в принципе, имеет смысл всегда оформлять письменное согласие на обработку ПД, поскольку при возникновении спора именно работодатель должен доказать получение согласия работника на обработку его персональных данных. Согласие работника на обработку персональных данных должно быть «конкретным, информированным и сознательным».

Согласие, содержащее, например, формулировку

«Согласен, чтобы компания обрабатывала все мои персональные данные до окончания трудового договора»

, таким требованиям соответствовать не будет. А это значит, что согласие вы не получили.

Согласие должно быть оформлено на конкретные действия с персональными данными. Правда, это не значит, что на каждую операцию с ПД нужно получать отдельный документ. В одном согласии можно предусмотреть сразу несколько действий с персональными данными.

Согласие должно содержать обязательные сведения.

Если их не будет, организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а генерального директора — от 10 000 до 20 000 руб. В согласии на обработку ПД обязательно укажите: •ф. и. о., адрес работника; •реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе; •наименование и адрес вашей компании; •цель обработки персональных данных; •перечень персональных данных, на обработку которых дает согласие работник; •перечень действий с персональными данными, на совершение которых работник дает согласие; •способы обработки персональных данных, которые вы используете.

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл.

в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст.

9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г.

Курск, ул. Черняховского, д. 12, на обработку в документальной и (или) электронной форме моих персональных данных для оформления информационного стенда. Перечень моих персональных данных, на обработку которых я даю согласие: — фамилия, имя, отчество; — фотография; — пол; — образование, квалификация, повышение квалификации; — трудовая деятельность в ООО «Ватрушка».

Перечень моих персональных данных, на обработку которых я даю согласие: — фамилия, имя, отчество; — фотография; — пол; — образование, квалификация, повышение квалификации; — трудовая деятельность в ООО «Ватрушка». Настоящее согласие действует в течение всего срока трудового договора.В согласии на обработку персональных данных должен быть указан срок, в течение которого оно действует. Срок действия согласия можно обозначить цифрой, например 5 лет.

Допустимо также указать, что согласие действует: •до расторжения трудового договора; •до момента, когда будет достигнута цель обработки; •до момента, пока сотрудник не отзовет согласие Настоящее согласие может быть отозвано мной в письменной форме.Согласие также должно содержать условие о том, каким способом работник вправе его отозвать 05.09.2018 П.В. Иванов Согласие на обработку ПД работник должен подписать лично Работодатель не вправе передавать третьим лицам ПД работника без его согласия; . Исключением являются ситуации, когда необходимо предупредить угрозу жизни и здоровью работника, а также в иных, прямо предусмотренных законом случаях.

Например, не требуется согласие, чтобы обрабатывать ПД для целей налогового и бухгалтерского учета, воинского учета или в рамках персонифицированного учета для целей пенсионного страхования, , ; ; ; . Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.
Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.

Но передать в банк персональные данные работника для выплаты заработной платы в определенных случаях можно и без его разрешения.

Это возможно, когда: •или договор на выпуск банковской карты был заключен банком напрямую с работником и в тексте есть положения, которые предусматривают передачу его данных; •или у работодателя есть доверенность и он вправе представлять интересы работника при заключении договора с банком; •или форма и система оплаты труда прописаны в коллективном договоре.

Внимание Если организация передает третьему лицу персональные данные работника не в рамках трудовых отношений (например, аудиторам для проверки), она обязана уведомить об этом Роскомнадзор по определенной форме; .

Уведомление подается: •или в бумажном виде в адрес территориального органа Роскомнадзора; •или в электронном виде через .

Из согласия работника должно четко следовать, кому будут переданы его персональные данные и с какой целью.

Кроме того, необходимо предупредить лицо, получающее ПД работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и потребовать от него подтверждение того, что это правило соблюдено. Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл.

в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст.

9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на передачу в ПАО «Банк»: фамилии, имени, отчества; должности; размера заработной платы. Цель передачи и обработки: получение кредита.

Срок действия согласия: две недели, следующие за днем получения кредита. 10.10.2018 П.В. Иванов Сотрудник вправе отозвать свое согласие на обработку персональных данных в любое время. Для этого он должен направить письменное заявление.

Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл.

в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии с п. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отзываю у ООО «Ватрушка», расположенного по адресу: г.

Курск, ул. Черняховского, д. 12, согласие на обработку персональных данных для оформления информационного стенда от 05.09.2018.

Перечень моих персональных данных, обработку которых прошу прекратить: — фамилия, имя, отчество; — фотография; — пол; — образование, квалификация, повышение квалификации; — трудовая деятельность в ООО «Ватрушка».

25.10.2018 П.В. Иванов Однако, даже если работник отозвал свое согласие, организация вправе продолжать обрабатывать его персональные данные в установленных законом случаях. Например, для исполнения судебного акта, для налогового учета и отчетности, для исполнения трудового договора.

Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работника; . В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных.

Также укажите характер персональных данных, которые предстоит получить. Инженеру Иванову П.В. Уведомляем Вас о том, что в связи с утратой Вашей трудовой книжки по вине ООО «Ватрушка» в целях сбора сведений о предыдущих местах работы и периодах трудовой деятельности ООО «Ватрушка» запросит эти персональные данные у ООО «Штрудель».

Сведения будут запрошены в письменной форме посредством почтовой связи. Просим Вас дать согласие на получение персональных данных у третьих лиц. Начальник отдела кадров А.В. Синицина С уведомлением ознакомлен Инженер П.В.

Иванов 09.10.2018 * * * В организации должен быть установлен конкретный перечень работников, которым разрешен доступ к персональным данным.

Для этого подготовьте отдельный приказ, в котором укажите, какие именно ПД тот или иной специалист может использовать в своей работе. Также с этих работников нужно взять обязательство о неразглашении ПД.

Помимо этого, назначьте ответственного за работу с персональными данными. Он обязан знать положения законодательства, касающиеся персональных данных, и анализировать поступающую документацию.
Понравилась ли вам статья?

  1. Почему оценка снижена?
  2. Слишком много слов
  3. Тема не актуальна
  4. Есть ошибки
  5. Статья появилась слишком поздно
  6. Нет ответа по поставленные вопросы
  7. Слишком теоретическая статья, в работе бесполезна
  8. Нужно больше примеров
  9. Другое
  10. Аргументы неубедительны
  11. Ничего нового не нашел

Поставить оценку

Оценивать статьи могут только подписчики журнала «Главная книга» или по демодоступу.

  1. я не подписчик, но хочу им стать
  2. хочу читать статьи бесплатно и попробовать все возможности подписчика
  3. я подписчик электронного журнала
  • , № 3, № 3
  • , № 4
  • , № 18
  • , № 21, № 21
  • , № 13, № 13
  • , № 17
  • , № 16, № 16
  • , № 13
  • , № 9
  • , № 10
  • , № 24
  • , № 17
  • , № 4
  • , № 3
  • , № 1
  • , № 19
  • , № 12
  • , № 2

Поделиться:

Подписывайтесь на наш канал в

Что нужно знать работодателю о защите персональных данных?

Фото Ольги Вирич, Кублог Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.
Отношения, связанные с обработкой персональных данных, регулируются:

  1. главой 14 Трудового кодекса РФ.
  2. федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

Что конкретно закон понимает под персональными данными?

Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных).

А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36. Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой. Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке.

Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ). В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  • из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
  • по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  • в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  • из документов, предъявляемых при заключении трудового договора;
  • от кадрового агентства, действующего от имени соискателя;

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие. В уведомлении необходимо указать:

  1. цели получения персональных данных работника у третьего лица;
  2. возможные последствия отказа работодателю в получении информации у третьего лица.
  3. предполагаемые источники данных (у кого будет запрашиваться информация);
  4. способы получения данных, их характер;

Если цели сбора информации отличаются от тех, что перечислены в п.

1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника. Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

  1. использовать технические средства охраны;
  2. установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  3. использовать программно-технический комплекс защиты информации на электронных носителях.
  4. установить особый порядок выдачи пропусков и удостоверений работников;

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя.

В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни. Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных. В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

.

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях.

При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем. В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам.

А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

  1. Ф.И.О. и должность лица, получившего документ с персональными данными работника.
  2. даты выдачи и возврата документа,
  3. срок пользования,
  4. цель выдачи,
  5. наименование документа,

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними.

В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника. В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  1. на граждан – от 300 до 500 руб.;
  2. на юридических лиц – от 5000 до 10 000 руб.
  3. на должностных лиц – от 500 до 1000 руб.;

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо. В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  1. на граждан – от 500 до 1000 руб.;
  2. на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом.

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ). Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  1. или штраф в сумме до 200 тыс. руб.,
  2. или обязательные работы на срок от 120 до 180 часов,
  3. или исправительные работы на срок до одного года,
  4. или арест на срок до четырех месяцев.
  5. или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  1. или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,
  2. или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  3. или штрафом в сумме от 100 тыс. до 300 тыс. руб.,

или арестом на срок от четырех до шести месяцев.

: Подписывайтесь на «Утреннего бухгалтера». Все для бухгалтера.

  1. © 2001–2020, Клерк.Ру.

18+

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы нав Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер». Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  1. адрес (место регистрации);
  2. деловые и иные личные качества, которые носят оценочный характер;
  3. факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  4. прочие сведения, которые могут идентифицировать человека.
  5. изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  6. семейное положение, наличие детей, родственные связи;
  7. образование, профессия;
  8. финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  9. дата и место рождения;
  10. фамилия, имя, отчество;

Кроме того, в Законе о персональных данных упоминаются:

  1. биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных.

    Исключение — случаи, установленные ч.

    2 ст. 11 Закона о персональных данных.

  2. специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается.

    Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  1. в паспорте или ином документе, удостоверяющем личность;
  2. медицинских справках и др.
  3. анкете, заполняемой при трудоустройстве;
  4. справке о доходах с предыдущего места работы;
  5. личной карточке работника (форма Т-2);
  6. трудовой книжке;
  7. документах о воинском учете, образовании, составе семьи;
  8. свидетельствах о заключении брака, рождении ребенка;

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст.

3 Закона о персональных данных). Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п.

1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно.

То же самое правило действует в отношении соискателей. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч.

4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется: 1) при получении персональных данных работника у третьей стороны (п.

3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ). В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  1. предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  2. способы получения данных, их характер;
  3. возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
  4. цели получения персональных данных работника у третьего лица;

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч.

2 ст. 9 Закона о персональных данных). В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч.

2 ст. 9 Закона о персональных данных). Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз.

2 ст. 88 ТК РФ); 3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных).

К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч.

6 ст. 9 Закона о персональных данных).

А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст.

10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  • в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  • от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).
  • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  • по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  • из документов (сведений), предъявляемых при заключении трудового договора;

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз.

2 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных). в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п.

7 ст. 86 ТК РФ). Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п.

8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом. Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью. Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  1. журнал проверок наличия документов, содержащих персональные данные работника.
  2. заявления работников о согласии на обработку персональных данных;
  3. журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел. Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  1. соответствует ли документация об их обработке требованиям законодательства и т.д.
  2. от всех ли работников получено согласие на обработку персональных данных;
  3. должным ли образом осуществляется хранение и защита персональных данных;
  4. ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;

Для отображения формы необходимо включить JavaScript в вашем браузере и обновить страницу.

39 055 Смотрите 4 полезных видеоурока, проходите онлайн-тесты и получите электронный сертификат Контур.Школы.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+