Обработка персональных данных работников
ООО открылось недавно. Расскажите, пожалуйста, как работать с персональными данными работников? Что делать необходимо?
|
|
Вопросы персональных данных регулируются Трудовым кодексом РФ и Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». | |
|
Персональ-
ные данные
|
В соответствии со ст. 3 Закона № 152-ФЗ к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). | |
|
ТК РФ
|
Для целей трудового законодательства защите персональных данных работника посвящена глава 14 ТК РФ. | |
|
Операторы
|
Закон № 152-ФЗ называет юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, операторами. | |
|
Конфиден-циальность
|
Операторами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных (ст. 7 Закона № 152-ФЗ). | |
|
|
То есть операторы (в Вашем случае – ООО) и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. | |
|
Документы
при поступ-
лении
на работу
|
|
Ст. 65 ТК РФ установлено, что при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
– паспорт или иной документ, удостоверяющий личность; – трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства; – страховое свидетельство государственного пенсионного страхования; – документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу; – документ об образовании и (или) о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки; – справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются МВД РФ, – при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с ТК РФ, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию. |
|
!
|
|
Все эти документы относятся к персональным данным работника. |
|
Медицинские заключения
|
Также персональными данными работника являются медицинские заключения, выдаваемые работнику при медицинских осмотрах в соответствии со ст. 69, 213 ТК РФ. | |
|
|
Общие требования при обработке персональных данных работника и гарантии их защиты установлены ст. 86 ТК РФ. | |
| Обязанности работодателя | ||
|
|
|
Работодатель и его представители при обработке персональных данных работника обязаны соблюдать, в частности, следующие общие требования: |
|
|
– обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; | |
|
|
– при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами; | |
|
|
– все персональные данные работника следует получать у него самого. | |
|
|
Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. | |
|
|
|
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. |
| Согласие работника | ||
|
Норма закона
|
В соответствии со ст. 9 Закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. | |
|
|
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. | |
|
|
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. | |
|
Согласие от предста-вителя
|
|
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. |
|
|
|
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. |
|
|
То есть на работодателя. | |
|
В письмен-
ной форме
|
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. | |
|
На бумаге и в электрон- |
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. | |
|
|
|
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: |
|
Что должно быть
|
|
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; |
|
|
|
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); |
|
|
|
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; |
|
|
|
4) цель обработки персональных данных;
|
|
|
|
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; |
|
|
|
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; |
|
|
|
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; |
|
|
|
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; |
|
|
|
9) подпись субъекта персональных данных.
|
|
Разъяснения чиновников
|
Роскомнадзор в Разъяснениях от декабря 2012 года указал, что содержание согласия работника должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. | |
|
Оформление согласия
|
|
Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Федерального закона «О персональных данных». |
|
Когда согласие не требуется
|
При этом получение работодателем согласия на обработку персональных данных не требуется в случае обработки специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства. | |
|
|
|
Согласие работника на обработку персональных данных не требуется также при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами. |
|
Обязанность работодателя
|
|
Работодатель согласно ст. 22 ТК РФ обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности, Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом «Об основах обязательного социального страхования», Федеральным законом «Об обязательном медицинском страховании в Российской Федерации». |
|
!
|
Таким образом, передача персональных данных работников в ФСС РФ, ПФР осуществляется без их согласия. | |
|
Налоговые органы
|
Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы. | |
|
Контроли-рующие
органы
|
|
Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ. |
|
|
|
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено. |
|
Платежные карты
|
|
Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях: |
|
|
– договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника; | |
|
|
– наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании; | |
|
|
– соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ). | |
|
Пропускной режим
|
|
В случае осуществления пропускного режима на территорию служебных зданий и помещений работодателя обработка персональных данных работника осуществляется без согласия работника при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 ТК РФ (Разъяснения Роскомнадзора от декабря 2012 г.). |
|
Право работника на отзыв согласия |
При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.
Согласие на обработку персональных данных может быть отозвано работником (п. 2 ст. 9 Закона № 152-ФЗ). |
|
| Согласие соискателя на замещение вакантной должности | ||
|
Обязанность
|
Исходя из Разъяснений Роскомнадзора обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных ТК РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. | |
|
Исключение
|
|
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц. |
|
Резюме по электронной почте
|
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. | |
|
Пример
|
|
К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д. |
|
!
|
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления. | |
|
Типовая
форма
анкеты соискателя
|
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 г. № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу. | |
|
|
|
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме. |
|
Отказ
в приеме на работу
|
|
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет. |
|
|
|
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. |
|
|
|
Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. |
|
|
Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы. | |
|
|
|
Работодатель не имеет права: |
|
|
– получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством РФ в области персональных данных к специальным категориям персональных данных; | |
|
|
– получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами; | |
|
|
– при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. | |
|
Хранение персональ-
ных данных
|
|
Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования персональных данных работника.
То есть работодатель должен принять соответствующий локальный нормативный акт. |
|
Под роспись
|
|
Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (ст. 86 ТК РФ). |
|
|
Следовательно, при приеме на работу работник должен быть под роспись ознакомлен с внутренним Положением о порядке обработки, хранения и использования персональных данных работников. | |
|
Защита персональ-
ных данных
|
|
Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств. |
| Права работников | ||
|
Норма закона
|
В соответствии со ст. 89 ТК РФ работники имеют право на:
– полную информацию об их персональных данных и обработке этих данных; |
|
|
|
– свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; | |
|
|
– определение своих представителей для защиты своих персональных данных; | |
|
|
– доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору; | |
|
|
– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. | |
|
|
|
При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. |
|
|
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения; | |
|
|
– требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; | |
|
|
– обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных. | |
| Обработка персональных данных | ||
|
Определение
|
|
Под обработкой персональных данных в Законе № 152-ФЗ подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
|
Положение
|
|
Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, определены одноименным Положением, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687. |
|
Без средств автомати-
зации
|
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. | |
|
!
|
Поскольку кадровое делопроизводство осуществляется при непосредственном участии человека, всем компаниям нужно руководствоваться Постановлением № 687 независимо от того, что при этом используются компьютеры. | |
|
Типовые формы документов
|
|
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: |
|
Обяза-
тельные сведения
|
– сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;
– имя (наименование) и адрес оператора (работодателя); – фамилию, имя, отчество и адрес субъекта персональных данных (работника); |
|
|
|
– источник получения персональных данных; | |
|
|
– сроки обработки персональных данных; | |
|
|
– перечень действий с персональными данными, которые будут совершаться в процессе их обработки; | |
|
|
– общее описание используемых оператором способов обработки персональных данных; | |
|
Отметка о согласии
|
|
б) типовая форма должна предусматривать поле, в котором работник может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных; |
|
|
|
в) типовая форма должна быть составлена таким образом, чтобы каждый из работников, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных работников; |
|
|
|
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. |
|
|
|
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. |
|
Хранение
|
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. | |
|
|
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. | |
|
|
Работодатель должен установить перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер. | |
|
Доступ
|
А ст. 88 ТК РФ обязывает работодателя осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись, разрешать доступ к персональным данным работников только специально уполномоченным лицам. | |
|
|
При этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций. | |
|
!
|
То есть работодателю нужно утвердить список лиц, допущенных к работе с персональными данными. | |
|
|
|
При разработке Положения о персональных данных работников и их обработке нужно указать: |
|
|
– сведения, которые относятся к персональным данным; | |
|
|
– порядок обработки персональных данных; | |
|
|
– порядок хранения персональных данных; | |
|
|
– режим доступа к персональным данным; | |
|
|
– порядок передачи персональных данных; | |
|
|
– порядок уничтожения персональных данных; | |
|
|
– порядок ознакомления работников с персональными данными; | |
|
|
– ответственность за разглашение персональных данных, которая установлена ст. 13.11 КоАП РФ. | |
|
Штрафы
|
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на юридических лиц – от 5 000 до 10 000 рублей. | |
|
Норма закона
|
Согласно ст. 22 Закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. | |
|
Однако
|
Однако обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством, оператор (работодатель) вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных. | |
|
|
В Разъяснении от декабря 2012 г. Роскомнадзор разъяснил ситуацию относительно обработки персональных данных уволенных работников. | |
|
Данные уволенного работника
|
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.
К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. |
|
|
|
Так, п.п. 5 п. 3 ст. 24 НК РФ установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. | |
|
|
Ст. 29 Федерального закона от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете» определено, что первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней подлежат хранению экономическим субъектом в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года. | |
|
!
|
Таким образом, с учетом положений п. 2 ст. 6 Федерального закона «О персональных данных», согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется. | |
| Срок хранения персональных данных | ||
|
75 лет
|
В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры РФ от 25.08.2010 г. № 558, документы (заявления работника о согласии на обработку персональных данных, сведения, уведомления) о субъекте персональных данных хранятся 75 лет. | |
|
Постоянно
|
|
Локальные нормативные акты (положения, инструкции) о персональных данных работников по месту разработки и утверждения хранятся постоянно. |
Все права на материалы защищены, многие статьи на нашем
сайте находятся в закрытом доступе.
Предлагаем зарегистрироваться или авторизоваться, чтобы продолжить чтение.
Ваша подписка закончилась {{this.$store.state.user.subscribe_end}}.
Продлите подписку чтобы получить доступ к журналу.
Изменения в законодательстве происходят каждый день!
Не попадите под штрафы и налоговые проверки!
Ваша подписка закончилась {{this.$store.state.user.subscribe_end}}.
Продлите подписку чтобы получить доступ к журналу.
Изменения в законодательстве происходят каждый день!
Не попадите под штрафы и налоговые проверки!