Относится ли должностная инструкция к персональным данным работника

В компаниях ежедневно происходит работа с персональными данными сотрудников: информацию собирают, обрабатывают, хранят. Если это делать неправильно, то при проверке Роскомнадзор оштрафует, а суммы штрафов внушительные. Из статьи узнаете, что входит в персональные данные, как правильно обращаться с ними, чтобы избежать претензий ведомства и какие изменения учесть с сентября 2022 года.

Что относится к персональным данным

Персональные данные — это сведения о человеке, которые помогают его идентифицировать. Согласно Федеральному закону 152-ФЗ — это любая информация, прямо или косвенно связанная с конкретным физическим лицом.

Является ли ФИО персональными данными, по закону да, хотя на основании только этих сведений идентифицировать человека бывает сложно. Помимо однофамильцев встречаются и полные тезки, поэтому только ФИО без привязки к другой информации суды не считают персональными данными. Также как и абстрактный номер телефона или адрес электронной почты.

Работодатели при приеме на работу используют не только ФИО, но и другую информацию о работнике: дата рождения, домашний адрес и номер телефона, семейное положение и сведения об образовании, и даже биометрические данные. Поэтому такой комплекс сведений уже входит в определение персональных данных. 

В законе не закреплен какой-либо определенный перечень персональных данных, но чтобы их классифицировать, выделяют несколько категорий.

Согласно Постановлению Правительства РФ 1119 от 01.11.2012 г. определяют следующие категории персональных данных:

Название категории Виды персональных данных

Общие

Сюда относят базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете

Специальные

Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости. Эти данные — личное дело человека и сообщать их кому-то он не обязан

Биометрические

Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото.

 

Фотография считается биометрическими персональными данными, если служит для идентификации человека, например, если в компании для допуска установлена система распознавания лиц. Если фото просто прикрепили к личному делу работника, то это не персональные данные

Иные

Сюда входит то, что нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате 

Важно! До марта 2021 года существовали общедоступные персональные данные в РФ. После внесли поправку в закон, теперь они называются «персональные данные, разрешенные субъектом для распространения». То есть даже если сам субъект разместит где-то свои данные публично, брать их и публиковать можно только с его согласия.

Как строится работа с персональными данными

Когда организация получает персональные данные работника, корректирует их, систематизирует, использует, хранит — это называется обработка, а сама организация является оператором персональных сведений. 

Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным.

Обратите внимание! Работодатель может осуществлять сбор только тех персональных данных, которые требуются для трудовой деятельности. При этом, даже если компания обрабатывает персданные сотрудников в соответствии с трудовым законодательством, необходимо подавать в Роскомнадзор уведомление об обработке персональных данных. Это новое требование закона.

Изменения в Законе о персональных данных 2022

В июле 2022 года вступил в силу Федеральный закон № 266-ФЗ от 14.07.2022 г., который вносит поправки в Закон о персональных данных. Некоторые из них применяют с сентября 2022 года. 

Новый закон о персональных данных внес изменения, большая часть которых касается обработки персональной информации:

  • вводится принцип экстерриториальности. Это означает, что если иностранная компания заключила договор с гражданином России, то она становится оператором персональных данных и обязана соблюдать Закон 152-ФЗ наравне с российскими организациями. А если российский работодатель поручил обрабатывать личные данные работника иностранной компании, то отвечать перед ним обязаны и оператор персональных данных и компания-обработчик;
  • все операторы персональных данных теперь обязаны сообщать об утечках информации в госсистему обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Если произойдет утечка личной информации, то компания обязана в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов провести расследование, найти виновных и доложить о результатах в ГосСОПКА;
  • уменьшится срок взаимодействия компании и сотрудника по вопросу персональных данных. Если ранее работник просил предоставить информацию об обработке его личных данных или прекратить их обрабатывать, то компания давала ответ в течение 30 дней. Теперь этот срок равняется 10 рабочим дням. Столько же дней отводится на то, чтобы отреагировать на запрос Роскомнадзора. 

Подробнее, какие изменения внес закон о персональных данных с 1 сентября 2022 года и как действовать работодателям в связи с этим, узнайте в нашем экспресс-курсе.

Персональные данные в организации. Алгоритм работы с ними

Правильно организовать работу с персональной информацией поможет следующая инструкция:

Шаг 1. Сформируйте Положение о персональных данных, в котором зафиксируйте правила обработки и хранения персональных сведений. По новому закону теперь компания должна для каждой цели обработки указывать:

  • какие категории персональных данных она будет обрабатывать и их перечень;

  • категории субъектов, данные которых обрабатываются;

  • как и сколько будут обрабатываться и храниться данные;

  • как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.

Шаг 2. Издайте приказ об утверждении Положения и ознакомьте с ним всех сотрудников под подпись.

Шаг 3. Назначьте ответственного за работу с персональной информацией и составьте допсоглашение к трудовому договору с этим сотрудником, где пропишите новые обязанности. Также определите, у кого из сотрудников будет доступ к персональным сведениям. Выбранные работники должны подписать соглашение о неразглашении данных.

Шаг 4. Попросите всех сотрудников компании дать согласие на обработку персональных данных. Согласно изменениям в законе теперь согласие на обработку персональных данных помимо конкретного, сознательного и информированного должно быть еще предметным и однозначным. (ст. 9 Закона № 152-ФЗ). Это означает, что из текста документа должно быть понятно, зачем компания собирает персональные сведения, а работник должен ясно выразить, что он не против.

Важно! Если работник молчит или бездействует, это не считаются согласием на обработку персональной информации. Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. В нем можно запретить передачу данных неограниченному кругу лиц.

Как правильно составить согласие на распространение персональных данных читайте в статье.

Шаг 5. Храните данные так, чтобы к ним имели доступ только уполномоченные сотрудники. Если персональная информация на бумаге, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении. 

Какие особенности учесть при хранении персональных данных читайте в статье. 

Шаг 6. Обратитесь в Роскомнадзор, если еще этого не сделали. По новым правилам не сообщать ведомству о том, что вы оператор персональных данных можно теперь только в двух случаях: 

  • если личные сведения включаются в государственные информационные системы персданных, созданные в целях защиты безопасности государства и общественного порядка;
  • когда компания обрабатывает персональную информацию вручную, без автоматизации.

Чтобы уверенно работать с персональными данными узнайте о новых требованиях 2022–2023 года в нашем курсе.

Источник

Защита персональных данных работника

Работодатель вправе получать, хранить, обрабатывать и использовать персональные данные работника.

Важно! Работодатель и его представители обязаны соблюдать установленные законодательством требования при получении, хранении и обработке персональных данных работника (ст. 86 ТК РФ).

I. Законодательством определены права и обязанности работодателя при обработке персональных данных работника.

А. Работодатель не имеет права:

— сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;

— сообщать персональные данные работника в коммерческих целях без его письменного согласия;

— запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать персональные данные работника представителям работников в ином порядке, чем установлен ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

— получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;

— при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Важно! Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами.

Согласно ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ N 152-ФЗ.

Важно! Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Допускается использование работодателем персональных данных оценочного характера, например, при составлении характеристики или представления в целях аттестации. Права работника при использовании работодателем персональных данных оценочного характера регламентированы ст. 89 ТК РФ.

Б. Работодатель обязан:

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). (Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами);

— осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Законодательством установлены требования, согласно которым все персональные данные работника следует получать у него самого.

Важно! Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Важно! Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

II. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Важно! Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной (ст. 5.39, 13.11, 13.14 КоАП РФ) и уголовной ответственности (ст. 137, 140, 272 УК РФ) в порядке, установленном федеральными законами.

III. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

— полную информацию об их персональных данных и обработке этих данных;

— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

— определение своих представителей для защиты своих персональных данных;

— доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Важно! Работник имеет право на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Источник

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Современный архив бухгалтерии

Безопасный документооборот, хранение, архивная обработка, уничтожение документов

Оставьте заявку, чтобы получить консультацию

Напишите свои контактные данные в форме ниже, мы с вами свяжемся:

Источник

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Наш тест: персональные данные — работаем без штрафа

Время прохождения около 5 мин.


Пройти тест

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

Читайте о том, что представляет собой обработка персональных данных, в специальном материале.

На основании п. 2.5 Методрекомендаций к личным данным относятся:

  • имя, отчество и фамилия гражданина;
  • дата его рождения (число, месяц и год);
  • место рождения;
  • адрес регистрации или место фактического проживания;
  • сведения о семейном положении и детях;
  • социальное положение;
  • данные об имуществе;
  • размер и источники дохода;
  • сведения об оконченных учебных заведениях;
  • профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Ознакомиться с экспертным определением понятия персональных данных, а также с ключевыми особенностями их обработки на практике вы можете в специальном материале, размещенном в системе «КонсультантПлюс». Получите пробный доступ к нему бесплатно.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

  1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
  2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

ВАЖНО! С 01 сентября 2022 года вступили в силу новые требования к обработке персональных данных в соответствии с законодательством.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона — это персональные сведения.

Электронная почта

Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит адрес электронной почты, электронный адрес не относится к персональным данным.

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

Подробнее о критериях отнесения адреса электронной почты и номера телефона к персональным данным читайте в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Таким образом, правомерно говорить о том, что номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека. Вместе с тем заслуживает внимания формулировка, приведенная в письмах Минфина России от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925. Там ведомство прямым текстом указывает, что ИНН не является информацией, входящей в перечень персональных данных, и применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов.

Но в целях исключения разногласий с проверяющими органами ИНН и иные государственные идентификаторы стоит по умолчанию рассматривать в качестве персональных данных. Как следствие, принимать все предусмотренные законом меры по их защите от несанкционированного использования.

Итоги

Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

Источник

Содержание:

С 1 сентября 2022 года вступили в силу изменения в работе с персональными данными. В данной статье мы разберем, какие новые обязанности и запреты появились у работодателей при обработке персональных данных своих сотрудников.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Когда при заключении трудового договора работодатель запрашивает паспортные данные и другие сведения у работников, тем самым он проводит обработку персональных данных. 

Сбор информации о соискателях, необходимой для принятия решения о вступлении с ними в трудовые отношения, также подпадает под обработку персональных данных. В данных ситуациях работодатель выступает в роли оператора персональных данных.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Основные правила обработки персональных данных

  1. обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей (например, если обработка проводится для трудоустройства работника, подачи сведений в ПФР и другие госорганы или обеспечения сохранности имущества);
  2. обработке подлежат только те персональные данные, которые отвечают целям обработки;

    Не допускается обработка, несовместимая с целями сбора персональных данных. Информацию, которая не относится к таким целям, работодатель получать не вправе. Это правило применяется даже в случае, если сотрудник не против обработки этих данных.

  3. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
  4. персональные данные необходимо получать исключительно у самого сотрудника;
  5. не следует обрабатывать персональные данные, которые относятся к специальным категориям;

    Это сведения, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, а также интимной жизни работника. Также нельзя обрабатывать персданные о членстве сотрудника в общественных организациях и профсоюзе. Для обработки биометрических персональных данных теперь требуется получить у работника письменное согласие (например, когда нужно разместить фотографию сотрудника на корпоративном сайте, вывесить фотографию на доску почёта или оформить пропуск для прохода на территорию).

  6. при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях — актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
  7. форма хранения персональных данных должна позволять определять субъекта этих данных;

    Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

  8. сотрудники должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных под подпись (п. 8 ст. 86 ТК РФ);
  9. меры по защите персональных данных можно выработать совместно с сотрудниками;

    Выбор мер безопасности, которые помогут защитить персональные данные, зависят от того, каким способом работодатель их обрабатывает (с использованием средств автоматизации или без них).

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных?

Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Желательно вручить такое уведомление работнику под подпись, чтобы у вас было доказательство, что сотрудник действительно был уведомлен.

Следует убедиться, что работник подписал документ. Тогда при необходимости вы без труда сможете доказать, что работник действительно давал вам согласие на получение своих персональных данных у третьей стороны. 

C 1 сентября 2022 г. работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников, даже если обрабатывают их в целях трудового законодательства. Все работодатели должны проверить, есть ли они в реестре Роскомнадзора. Организациям, еще не включенным в реестр операторов персональных данных, необходимо направить уведомление об обработке персональных данных. Это можно сделать на сайте Роскомнадзора. Организациям, кто уже включен в реестр операторов, не позднее 15 сентября 2022 г. рекомендуется уведомить Роскомнадзор о новой цели обработки персональных данных — обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ в редакции, действующей с 01.09.2022). Уведомление нужно подать разово, чтобы данные работодателя попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.

Были изменены требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно указывать категории персональных данных сотрудника, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ). 

В дальнейшем работодателю также нужно будет сообщать в Роскомнадзор о случаях утечки, либо неправомерной передаче персональных данных сотрудников третьим лицам.

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен. При этом есть обязательный минимум документов, которые должны быть у всех работодателей.

Положение о персональных данных

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. Важно утвердить положение приказом руководителя и ознакомить с ним работников под подпись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Форму положения утверждает сама организация. Определите в документе для каждой цели обработки:

  • категории и перечень персональных данных;
  • категории субъектов персональных данных;
  • способы и сроки обработки и хранения данных;
  • порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю достаточно:

  1. обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
  2. обеспечить сохранность носителей персональных данных;
  3. защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  4. издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Политика обработки персональных данных

Если клиенты регистрируются на сайте организации и оставляют свои персональные данные, то в таком случае политика обработки персональных данных становится обязательным документом. Потребуется разработать и опубликовать на сайте организации документ, который определяет политику в отношении защиты и обработки персональных данных.

Организация должна обеспечить доступ через интернет к сведениям о том, какие меры принимает, чтобы защитить персональные данные (ч. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

В политику обработки персональных данных в том числе включают:

  • основные понятия, которые используют в документе;
  • сведения о цели обработки персональных данных;
  • основания обработки данных;
  • категории обрабатываемых данных и их субъектов;
  • порядок и условия обработки данных;
  • права и обязанности субъектов данных и прочее.

Положение о защите персональных данных

С 1 сентября 2022 г. каждый работодатель обязан разработать и утвердить локальный акт, который определит процедуры по предотвращению, выявлению и устранению последствий нарушения закона о персональных данных.

Меры защиты, которые принимаются, чтобы предотвратить, выявить и устранить нарушения закона о персональных данных, нужно установить в локальном акте организации. Например, в положении о защите персональных данных.

К таким мерам можно отнести, например, установку антивирусных программ или назначение ответственных за защиту персональных данных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персональные данные – вручную или через компьютерные программы.

Приказ о назначении ответственного за обработку персональных данных

Работодатель обязан назначить сотрудника, который будет отвечать за обработку персональных данных (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Чаще всего для этой роли выбирают сотрудника кадровой службы организации. Для этого необходимо издать соответствующий приказ. Скачайте образец приказа.

При этом ответственным за обработку персональных данных в компании может быть только один человек. Будет считаться нарушением назначение ответственным за персональные данные сотрудников кадрового специалиста, а за данные клиентов компании, например, начальника отдела продаж. Организация за такое нарушение будет оштрафована. Информацию об ответственном нужно не забыть подать в реестр Роскомнадзора.

Приказ о назначении ответственного за обработку персональных данных составляется по форме, которую разрабатывает организация и отдается ему на подпись. В приказе необходимо прописать обязанности лица, ответственного за организацию обработки персональных данных:

  • проведение внутреннего контроля за тем, как работодатель и другие сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
  • доведение до сведения сотрудников организации положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите;
  • организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, контроль приема и обработки таких обращений и запросов.

В законе предусмотрена возможность работодателя поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести сам работодатель. Лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы ответственный мог выполнять свои обязанности, работодатель обязан передать ему необходимые сведения. К ним относятся:

  • наименование, адрес работодателя;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатывают;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание способов обработки данных;
  • описание мер по обработке данных, в том числе сведения о шифровальных средствах и др.

Обязательство о неразглашении персональных данных

Работодатель должен обеспечить защиту персональных данных сотрудников от их неправомерного использования или утраты. С сотрудниками, которые имеют доступ к персональным данным, нужно оформить обязательство об их неразглашении. При этом привлечь к ответственности за неразглашение таких данных можно в случае, если они стали известны им в связи с исполнением трудовых обязанностей и работники обязались не разглашать такие сведения (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Условие о неразглашении закрепляется в дополнительном соглашении к трудовому договору.

Документы внутреннего контроля

При возможной проверке инспекторы могут поинтересоваться, есть ли у организации документы внутреннего контроля. Поэтому нужно заранее озаботиться разработкой документов внутреннего контроля обработки персональных данных. Например, это могут быть протоколы, планы внутреннего аудита, правила внутреннего контроля, а также материалы проверочных мероприятий.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Журналы учета персональных данных

Работодатель обязан соблюдать режим конфиденциальности персональных данных своих сотрудников. Следует ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников. Не лишним также будет вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов, срок пользования, цели выдачи, наименование выдаваемых документов. Лицо, которое возвращает документ, должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных, требования к оборудованию, определить состав работников, имеющих право доступа в данные помещения.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Такие же меры предусмотрены ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

При этом если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности по ч. 2 ст. 137 УК РФ, которой предусмотрено лишение свободы на срок до четырех лет.

Источник

Понравилась статья? Поделить с друзьями:
  • Как закрыть кфх в 2022 году пошаговая инструкция
  • Бмб ii ламинар с 1 2 руководство
  • Мазь от насморка эваменол для детей инструкция по применению
  • Где находится руководство альфа банка
  • Как поменять заставку на рабочем столе компьютера пошаговая инструкция