Что относится к персональным данным работника
Перейти к содержимому

Что относится к персональным данным работника

  • автор:

Персональные данные работника: что важно знать об этом

В компаниях ежедневно происходит работа с персональными данными сотрудников: информацию собирают, обрабатывают, хранят. Если это делать неправильно, то при проверке Роскомнадзор оштрафует, а суммы штрафов внушительные. Из статьи узнаете, что входит в персональные данные, как правильно обращаться с ними, чтобы избежать претензий ведомства и какие изменения учесть с сентября 2022 года.

Грамотно внедрить все изменения по персональным данным и внести корректировки в документы компании, поможет наш курс « Персональные данные: новые требования 2022–2023 ».

Что относится к персональным данным

Персональные данные — это сведения о человеке, которые помогают его идентифицировать. Согласно Федеральному закону 152-ФЗ — это любая информация, прямо или косвенно связанная с конкретным физическим лицом.

Является ли ФИО персональными данными, по закону да, хотя на основании только этих сведений идентифицировать человека бывает сложно. Помимо однофамильцев встречаются и полные тезки, поэтому только ФИО без привязки к другой информации суды не считают персональными данными. Также как и абстрактный номер телефона или адрес электронной почты.

Работодатели при приеме на работу используют не только ФИО, но и другую информацию о работнике: дата рождения, домашний адрес и номер телефона, семейное положение и сведения об образовании, и даже биометрические данные. Поэтому такой комплекс сведений уже входит в определение персональных данных.

В законе не закреплен какой-либо определенный перечень персональных данных, но чтобы их классифицировать, выделяют несколько категорий.

Согласно Постановлению Правительства РФ 1119 от 01.11.2012 г. определяют следующие категории персональных данных:

Сюда относят базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете

Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости. Эти данные — личное дело человека и сообщать их кому-то он не обязан

Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото.

Фотография считается биометрическими персональными данными, если служит для идентификации человека, например, если в компании для допуска установлена система распознавания лиц. Если фото просто прикрепили к личному делу работника, то это не персональные данные

Сюда входит то, что нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате

Важно! До марта 2021 года существовали общедоступные персональные данные в РФ. После внесли поправку в закон, теперь они называются «персональные данные, разрешенные субъектом для распространения». То есть даже если сам субъект разместит где-то свои данные публично, брать их и публиковать можно только с его согласия.

Как строится работа с персональными данными

Когда организация получает персональные данные работника, корректирует их, систематизирует, использует, хранит — это называется обработка, а сама организация является оператором персональных сведений.

Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным.

Обратите внимание! Работодатель может осуществлять сбор только тех персональных данных, которые требуются для трудовой деятельности. При этом, даже если компания обрабатывает персданные сотрудников в соответствии с трудовым законодательством, необходимо подавать в Роскомнадзор уведомление об обработке персональных данных. Это новое требование закона.

Изменения в Законе о персональных данных 2022

В июле 2022 года вступил в силу Федеральный закон № 266-ФЗ от 14.07.2022 г., который вносит поправки в Закон о персональных данных. Некоторые из них применяют с сентября 2022 года.

Новый закон о персональных данных внес изменения, большая часть которых касается обработки персональной информации:

  • вводится принцип экстерриториальности. Это означает, что если иностранная компания заключила договор с гражданином России, то она становится оператором персональных данных и обязана соблюдать Закон 152-ФЗ наравне с российскими организациями. А если российский работодатель поручил обрабатывать личные данные работника иностранной компании, то отвечать перед ним обязаны и оператор персональных данных и компания-обработчик;
  • все операторы персональных данных теперь обязаны сообщать об утечках информации в госсистему обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Если произойдет утечка личной информации, то компания обязана в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов провести расследование, найти виновных и доложить о результатах в ГосСОПКА;
  • уменьшится срок взаимодействия компании и сотрудника по вопросу персональных данных. Если ранее работник просил предоставить информацию об обработке его личных данных или прекратить их обрабатывать, то компания давала ответ в течение 30 дней. Теперь этот срок равняется 10 рабочим дням. Столько же дней отводится на то, чтобы отреагировать на запрос Роскомнадзора.

Подробнее, какие изменения внес закон о персональных данных с 1 сентября 2022 года и как действовать работодателям в связи с этим, узнайте в нашем экспресс-курсе .

Персональные данные в организации. Алгоритм работы с ними

Правильно организовать работу с персональной информацией поможет следующая инструкция:

Шаг 1. Сформируйте Положение о персональных данных, в котором зафиксируйте правила обработки и хранения персональных сведений. По новому закону теперь компания должна для каждой цели обработки указывать:

какие категории персональных данных она будет обрабатывать и их перечень;

категории субъектов, данные которых обрабатываются;

как и сколько будут обрабатываться и храниться данные;

как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.

Шаг 2. Издайте приказ об утверждении Положения и ознакомьте с ним всех сотрудников под подпись.

Шаг 3. Назначьте ответственного за работу с персональной информацией и составьте допсоглашение к трудовому договору с этим сотрудником, где пропишите новые обязанности. Также определите, у кого из сотрудников будет доступ к персональным сведениям. Выбранные работники должны подписать соглашение о неразглашении данных.

Шаг 4. Попросите всех сотрудников компании дать согласие на обработку персональных данных. Согласно изменениям в законе теперь согласие на обработку персональных данных помимо конкретного, сознательного и информированного должно быть еще предметным и однозначным. (ст. 9 Закона № 152-ФЗ). Это означает, что из текста документа должно быть понятно, зачем компания собирает персональные сведения, а работник должен ясно выразить, что он не против .

Важно! Если работник молчит или бездействует, это не считаются согласием на обработку персональной информации. Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. В нем можно запретить передачу данных неограниченному кругу лиц.

Как правильно составить согласие на распространение персональных данных читайте в статье .

Шаг 5. Храните данные так, чтобы к ним имели доступ только уполномоченные сотрудники. Если персональная информация на бумаге, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении.

Какие особенности учесть при хранении персональных данных читайте в статье .

Шаг 6. Обратитесь в Роскомнадзор, если еще этого не сделали. По новым правилам не сообщать ведомству о том, что вы оператор персональных данных можно теперь только в двух случаях:

  • если личные сведения включаются в государственные информационные системы персданных, созданные в целях защиты безопасности государства и общественного порядка;
  • когда компания обрабатывает персональную информацию вручную, без автоматизации.

Чтобы уверенно работать с персональными данными узнайте о новых требованиях 2022–2023 года в нашем курсе .

Как работать с персональными данными работников в 2023 году

Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.

Что вы узнаете

Что считается персональными данными работника

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Как наказывают работодателей за нарушения в работе с персональными данными

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Компания Twitter, Inc. отказалась хранить данные российских пользователей на территории РФ. Ее оштрафовали на 4 млн рублей. См. Постановление 2КСОЮ 16-3770/2020 от 07.07.2020.

Штраф за нарушение до 6 млн рублей для компаний по ч. 8 ст. 13.11 КоАП РФ.

Как наказывают кадровиков за нарушения обработки персданных

Вот представьте: кадровик, ответственный за обработку персданных работников, сообщает кому-то по телефону или электронной почте о психическом заболевании работника, его частной жизни. Или айтишник допускает виновную утечку данных работников.

За такие нарушения сотрудников могут привлечь к уголовной ответственности. По ч. 2 ст. 137 УК РФ возможны штрафы до 300 тыс. рублей, лишение права заниматься определенной деятельностью и даже лишение свободы.

Должен ли работодатель уведомлять Роскомнадзор

По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.

Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:

  • в соответствие с трудовым законодательством;
  • для однократного пропуска на территорию;
  • на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
  • в иных случаях, указанных в ч. 2 ст. 22 того же закона.

Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).

Автосалон не подал уведомление и ошибся

Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:

  • обрабатывает данные работников только в пределах трудового законодательства;
  • получает данные клиентов только в рамках договоров купли — продажи машины;
  • пропускает на территорию по разовым пропускам.

Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:

  • Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.

На передачу данных нужно согласие и уведомление Роскомнадзора.

Онлайн-магазин не подавал уведомление и был прав

Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:

  • использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
  • обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
  • применяет программы для обработки данных клиентов при дистанционной продаже товаров;
  • получает данные покупателей в рамках договоров купли-продажи;
  • не рассылает покупателям рекламные рассылки.

Не нужно уведомлять Роскомнадзор.

Когда уведомлять Роскомнадзор и как

Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.

Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.

Когда не нужны согласия на обработку персональных данных

По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.

Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:

Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ).

Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.

Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ).

Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников.

Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).

Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ).

Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.

Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора).

Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.

Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора).

Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.

Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора).

Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.

Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора).

Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.

2 вида согласий работников на обработку персданных

Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.

Есть 2 вида согласий на обработку:

  • Согласие на обработку персональных данных.
  • Согласие на обработку персданных, разрешенных работником для распространения.

Согласие на обработку персональных данных

Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.

В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).

Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.

Когда нужно

Работодатель должен получить согласие на обработку в следующих случаях:

Запрашивает данных больше, чем ему нужно по трудовому законодательству.

Нужно согласие Не нужно
Личный телефон работника для корпоративных визиток ФИО и паспортные данные. Они нужны для оформления трудового договора
Фотография для пропуска Номер диплома об образовании. Нужен для заполнения карточки Т-2
Личный электронный адрес для внутреннего справочника работодателя Личный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО

Получает персданные у третьей стороны, п. 3 ст. 86 ТК РФ.

Например, кадровик сомневается в достоверности диплома и направляет запрос в вуз. Или получает отзыв о соискателе у его бывшего работодателя.

До отправки запроса нужно получить у работника письменное согласие.

Обрабатывает информацию о национальности, состоянии здоровья, политических взглядах, религиозных убеждениях и иные специальные категории ПД, непосредственно связанные с вопросами трудовых отношений, п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 закона о персданных.

Например, не нужно согласие педагога на обработку сведений о его состоянии здоровья, поскольку по ч. 2 ст. 331 ТК РФ работодатель не имеет права допускать к педагогической деятельности работников с психическими заболеваниями.

Сообщает персданные работника в коммерческих целях, абз. 3 ст. 88 ТК РФ.

Например, передает ФИО работника-водителя своим подрядчикам.

Обрабатывает биометрические персданные, ст. 11 закона о ПД.

Например, компания использует фотографии, отпечатки пальцев для организации доступа на территорию, иные сведения, которые характеризуют физиологические и биологические особенности человека.

Осуществляет трансграничную передачу персданных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персданных, ч. 4 ст. 12 закона о ПД.

Например, направляет анкеты соискателей учредителю компании в государство, не обеспечивающее защиту ПД.

Вносит персданные работников в общедоступные справочники, адресные книги, ч. 1 ст. 8 закона о ПД.

Например, издает телефонный справочник работников компании и распространяет его среди посетителей компании.

Согласие на обработку персданных, разрешенных работником для распространения

Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.

Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.

Когда нужно

Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.

Информация о дипломе на сайте компании

Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.

Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.

Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.

Публикация ФИО и телефона

Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.

Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.

Предоставление персданных по запросу адвоката

Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.

Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

Предоставление персданных по запросу полиции

Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.

Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011). Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).

Сколько хранить согласия о персональных данных

Согласия на обработку персональных данных хранят 3 года после истечения срока действия согласия или его отзыва.

К примеру, согласие дано на 1 год, значит, уничтожаем его через 4 года после выдачи. Если работник отзовет согласие досрочно, тогда уничтожаем через 3 года после отзыва. Эти правила установлены ст. 441 приказа Росархива 236 от 20.12.2019 о сроках хранения всех кадровых документов.

Может ли работник отозвать согласие на обработку персданных

Может. Любой человек имеет право отозвать согласие на обработку, подав письменное заявление. Это его право по ч. 2 ст. 9 закона 152-ФЗ.

Тогда работодатель сможет продолжить обработку персданных без согласия в пределах трудового законодательства и по иным основаниям, когда обработка возможна без согласия. Такие основания мы разобрали выше, они перечислены в п. 2–11 с. 1 ст. 6, с. 2 ст. 10, ч. 2 ст. 11 закона о персданных.

В случае отзыва согласия работодатель сможет издавать приказы, распоряжения, рассчитывать работнику зарплату. Но фотографию работника с сайта или доски почета придется убрать.

Нужно ли согласие для обработки персданных уволенного сотрудника

Согласие не требуется. Работодатель вправе обрабатывать данные уволенного работника для целей налогового и бухгалтерского учета.

Могут ли согласия на обработку быть электронными

Согласие работника на обработку персональных данных может быть подписано электронной подписью. Это предусмотрено ч. 4 ст. 9 закона 152-ФЗ. Есть 3 вида электронных подписей работников: простая, неквалифицированная и квалифицированная. Для согласий можно использовать любой вид электронной подписи. Как выбрать электронные подписи для сотрудников — читайте в статье.

Трудовой кодекс разрешает подписывать электронно не только согласия на обработку персональных данных, но и трудовые договоры, приказы об отпусках и должностные инструкции. Как перейти на электронное взаимодействие с работниками — читайте в статье. Как обмениваться с работниками электронными согласиями и другими кадровыми документами — читайте в статье.

Кратко и доступно: что такое персональные данные, их хранение и обработка

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Не ПДн ПДн
ivan999@mail.ru ФИО: Иванов Иван Иванович, email: ivan999@mail.ru
30% опрошенных женаты Иванов Иван Иванович женат

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят , передают и уничтожают .

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее .

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Современный архив бухгалтерии

Безопасный документооборот, хранение, архивная обработка, уничтожение документов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *