Работа с персональными данными работников: ответы на вопросы (Часть 2)

30 сентября 2022

578

Время чтения: 10 мин.

#зарплата и управление персоналом #общие вопросы #трудовое право #трудовые отношения #инструкция

Нет времени читать? Отправить на почту

Что следует делать работодателям, чтобы обеспечить охрану персональных данных работников, и как уведомлять Роскомнадзор о намерении обрабатывать персональные данные, с учетом изменений законодательства, вступивших в силу 1 сентября 2022 года? Об этом вы расскажем в нашей новой статье.

Работа с персональными данными работников: ответы на вопросы (Часть 1)

Как получить согласие на обработку и распространение персональных данных работника?

Одним из условий обработки персональных данных работников является получение работодателем согласия работников на это. При этом закон выделяет ряд случаев, когда согласие не является обязательным.

Согласий на обработку персональных данных может быть два. С 1 марта 2021 года в закон введено новое понятие – "Персональные данные, разрешенные для распространения". Речь идет о случаях, когда персональные данные распространяются оператором среди неограниченного круга лиц. Раньше оператор персональных данных мог обрабатывать и распространять персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персональных данных. Теперь этого недостаточно. Если оператор хочет распространять данные, ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных. Оба вида согласий могут быть получены у работника как по отдельности, так и вместе.

Когда согласие на обработку персональных данных не требуется?

Работодатель может осуществлять обработку персональных данных работника без его согласия для осуществления оператором обязанностей, возложенных на него законом. Речь идет об обязанности работодателя предоставлять персональные данные работника во внебюджетные фонды, в трудовую инспекцию, в профсоюзы, в прокуратуру и правоохранительные органы, в налоговые органы и военные комиссариаты, в Роскомнадзор и его территориальные органы, при реализации международных соглашений, при осуществлении правосудия, исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве, для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ, для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является работник, для защиты жизни, здоровья и иных интересов работника, для реализации прав и законных интересов оператора и третьих лиц или для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта персональных данных, для осуществления профессиональной деятельности журналиста и законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных, в статистических или иных исследовательских целях при условии обезличивания персональных данных.

Ответственность за обработку или распространение персональных данных без согласия работника

Если согласие на обработку или распространение персональных данных обязательно, но оно не было получено, либо не были соблюдены требования к составу сведений, которые должны быть в таком согласии, обработка персональных данных признается незаконной и может стать поводом для привлечения к ответственности на основании ч. 2 ст. 13.11 КоАП РФ в виде штрафа на граждан - от 6 000 до 10 000 рублей, на должностных лиц - от 20 000 до 40 000 рублей, на организации - от 30 000 до 150 000 рублей.

Как получить согласие на обработку персональных данных без их распространения?

С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных.

Содержание согласия на обработку персональных данных

Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать фамилию, имя, отчество субъекта персональных данных, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя, наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных, цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом, подпись субъекта персональных данных.

Оформление согласия на обработку персональных данных

Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо при обработке биометрических персональных данных, при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы и т.д.

Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись. Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.

Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.

Как получить согласие на обработку персональных данных, разрешенных для распространения?

Такое согласие может быть дано работником наряду с обычным согласием на обработку персональных данных – они действуют независимо друг от друга.

Перечень реквизитов, которые обязательно должны присутствовать в согласии на обработку персональных данных, разрешенных субъектом к распространению, закреплен в приказе Роскомнадзора от 24.02.2021 № 18.

Такое согласие должно содержать фамилию, имя, отчество субъекта персональных данных, контактную информацию, сведения об операторе-организации – наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер, сведения об операторе-физлице – фамилия, имя, отчество, место жительства или место пребывания, сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, – фамилия, имя, отчество, идентификационный номер налогоплательщика, основной государственный регистрационный номер, сведения об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных, цель обработки персональных данных, категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, персональные данные, специальные категории персональных данных, категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень установленных условий и запретов, условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных, срок действия согласия.

Согласие на обработку персональных данных, разрешенных для распространения, может быть представлено оператору персональных данных непосредственно – то есть на бумаге, с личной подписью субъекта персональных данных, в электронном виде – через информационную систему Роскомнадзора. Правила предоставления согласия этим способом, действующие с 1 марта 2022 года, утверждены Роскомнадзором. Чтобы получить согласие этим способом, оператору персданных следует подключить свой сайт к Единой системе идентификации и аутентификации, после подписания субъектом персданных согласия получить из Роскомнадзора сведения о факте предоставления согласия, о цели обработки персональных данных, об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц к персональным данным, о категориях и перечне персональных данных, для обработки которых установлены условия и запреты, о перечне установленных запретов и условий в отношении персональных данных.

Нужно ли согласие работника на предоставление сведений о его зарплате банку или членам его семьи?

Не представлять сведения о заработной плате работника никаким третьим лицам, включая банки и членов его семьи, если работник не давал на это своего согласия. Обосновывается это следующим. Персональными данными признаются любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных.

В письме Роскомнадзора от 07.02.2014 № 08КМ-3681 отмечается, что сведения о размере заработной платы относятся к персональным данным работника. Учитывая эти разъяснения, сообщать размер заработной платы третьим лицам без согласия работника нельзя. Это может повлечь наказание на основании ч. 2 ст. 13.11 КоАП РФ, которая предусматривает ответственность в виде штрафа от 6 000 до 10 000 руб. – на граждан, от 20 000 до 40 000 руб. – на должностных лиц и ИП, от 30 000 до 150 000 руб. – на организации.

Заказать звонок

Сэкономьте время! Оставьте заявку на консультацию специалиста 1С.

Ваше имя

Телефон *

Подтвердите, что вы не робот *

Нажимая на кнопку , Вы даете согласие на обработку своих персональных данных и соглашаетесь с политикой конфиденциальности

Вконтакте

Содержание статьи

Рассылка нашего блога

Электронная почта *

Политика конфиденциальности персональных данных.

Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всей информации, которую данный сайт, может получить о Пользователе во время использования (а также его субдоменов), его программ и его продуктов.
1. Определение терминов.
В настоящей Политике используются следующие термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному юридическому или физическому лицу (субъекту персональных данных);
– оператор персональных данных – Администрация сайта (далее – Администрация) – сотрудники, уполномоченные на управление, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.;
– сайт — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL), а также его субдоменах;
– субдомены – это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту, а также другие временные страницы, внизу который указана контактная информация Администрации;
– пользователь сайта (далее Пользователь) – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее информацию, материалы и продукты сайта.
2. Общие положения.
2.1 Назначение политики конфиденциальности.
2.1.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет .
2.2. Права и обязанности сторон.
2.2.1. Пользователь вправе:
2.2.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта, и давать согласие на их обработку.
2.2.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
2.2.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.2.2. Администрация обязана:
2.2.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 3 настоящей Политики конфиденциальности.
2.2.2.2. Принять меры для хранения конфиденциальной информации в тайне,
не разглашать без предварительного письменного разрешения Пользователя, а также
не осуществлять продажу, обмен, опубликование, либо разглашение иными
возможными способами переданных персональных данных Пользователя,
за исключением п. 6.3. настоящей Политики Конфиденциальности.
2.2.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
2.2.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
2.3. Использование сайта Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.4. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.
2.5. Настоящая Политика конфиденциальности применяется к сайту.
2.6. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.
3. Цели сбора персональных данных.
3.1. Персональные данные Пользователя Администрация может использовать только в связи с заключением договора, стороной которого является субъект персональных данных. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
4. Правовые основания обработки персональных данных.
Правовым основанием обработки персональных данных является:
– федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
– уставные документы оператора;
– договоры, заключаемые между оператором и субъектом персональных данных;
– согласие субъекта на обработку персональных данных;
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте и включают в себя следующую информацию:
5.1.1. имя Пользователя;
5.1.2. контактный телефон Пользователя;
5.1.3. адрес электронной почты (e-mail).
5.2. К категориям субъектов персональных данных относятся работники оператора.
Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
6.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
6.4. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
6.5. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
7. Разрешение споров.
7.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
7.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
7.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда.
7.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.
8. Дополнительные условия.
8.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Настройки

Назад к списку