Как работать с персональными данными работников в 2023 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


В задачи федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) входит также и надзор о защите персональных данных сотрудников. Наниматель обязан уведомить данный федеральный орган об обработке личной информации работников и внести их в специальный реестр.

Подпишите согласие на обработку данных

Вы удачно прошли собеседование и готовы выйти на новое место работы. Помните, работодатель обязан взять с вас согласие на обработку персональных данных. Вы дадите его в том случае, если подпишите соответствующий бланк. Без согласия и подписи дальнейшие действия организации будут являться незаконными.

Когда требуется такое согласие. Согласие требуется лишь тогда, когда наниматель принимает решение о внедрении вас в штат в качестве сотрудника.

Согласие не требуется, если вы лично разместили портфолио на сайте, либо от вашего лица выступало кадровое агентство.

Какие персональные данные не имеют права узнавать? Все, что касается личной или семейной тайны, работодателю знать необязательно. О своей личной жизни, вере, политических устоях и жилищных условиях имеете право не говорить.

На должность госслужащего, однако, при устройстве на работу, запросят не только информацию о семье, но и о всех передвижениях по России и заграницей. В данном случае, необходимым будет предоставление всей информации.

Как заполнять согласие? Согласие заполняется строго самостоятельно. Не позволяйте этого делать за вас никому. Если бланк согласия отсутствует, а вам предложено заполнить анкету, убедитесь, что там есть графа о согласии обработки личных данных.

Что будет, если на работу не приняли? В таком случае, ваши персональные должны быть уничтожены в течение месяца. Личные сведения госслужащих удаляют по истечению трех лет (ч. 4, ст. 21 ФЗ «О персональных данных»).

Вас может обмануть недобросовестный работодатель, оставив ваши персональные данные, не уничтожив их.

Копии документов могут использовать в своих целях. На работу вас не взяли, а штат пополнили. Все потому, что не избавились от копий вашей трудовой книжки, паспорта и диплома, которые вы сами разрешили сделать.

Рассмотрим пример. Компания очень хочет выиграть тендер. Пока вы переживаете об упущенной возможности работать именно в этом месте, организация в этот момент подделывает вашу трудовую книжку. Запись о приеме на работу сделана, копия снята и заверена. Вас “добавляют” в штат и пакет документов отправляется в тендерную комиссию. Обманным путем и с вашей помощью, компания выигрывает тендер и получает деньги.

Что делать, если вас не приняли на работу? Необходимо направить на юридический адрес компании отзыв о согласии на обработку персональных данных. Подстраховать себя можно, отправив отзыв ценным письмом с описью вложения и уведомлением о вручении. Также, можно самостоятельно принести отзыв. Требуйте на втором экземпляре поставить печать, дату и ФИО того, кто принял отзыв. Второй экземпляр вы оставляете для себя.

Комментарий к ст. 86 ТК РФ

1. Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Приведенные положения соответствуют важнейшим международным актам о защите прав и свобод человека:

— Международному пакту о гражданских и политических правах (1996 г.), ст. 17 которого предусматривает, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.

Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств;

— Конвенции о защите прав человека и основных свобод (1950 г.), ст. 8 которой устанавливает, что каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.

Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц;

— Конвенции Содружества Независимых Государств о правах и основных свободах человека (1995 г.), ст. 9 которой определяет, что каждый человек имеет право на уважение его личной и семейной жизни, на неприкосновенность жилища и тайну переписки.

Не должно быть никакого вмешательства со стороны государственных органов в пользовании этим правом, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах государственной и общественной безопасности, общественного порядка, охраны здоровья и нравственности населения или защиты прав и свобод других лиц.

2. 19.12.2005 Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 с поправками, одобренными Комитетом министров Совета Европы 15.06.1999, подписанную от имени Российской Федерации в г. Страсбурге 07.11.2001.

Целью Конвенции является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных (защита данных).

Читайте также:  Какие документы нужны для прописки в Казахстане и какой механизм процедуры

Для целей данной Конвенции термин «персональные данные» означает информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных); термин «автоматизированная база данных» означает любой набор данных, к которым применяется автоматическая обработка; автоматическая обработка персональных данных включает в себя операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение; контролер базы данных есть физическое или юридическое лицо, государственный орган, ведомство или любая другая организация, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.

3. На 14-м пленарном заседании Межпарламентской Ассамблеи государств — участников СНГ (Постановление от 16.10.1999 N 14-19) принят Модельный закон о персональных данных, который определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.

Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.

В соответствии с этим Законом персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Материальные носители — материальные объекты (в т.ч. физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.

Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.

Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.

Действия (операции) держателя с персональными данными — сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.

Сбор персональных данных — документально оформленная процедура получения держателем персональных данных от субъектов этих данных.

Передача персональных данных — предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.

Трансграничная передача персональных данных — передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.

Уточнение персональных данных — оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.

Блокирование персональных данных — временное прекращение передачи, уточнения и уничтожения персональных данных.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

    • наименование компании-работодателя;
    • место и дата составления документа;
    • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

    Далее в основной части подробно указывается:

    • каких именно персональных данных касается документ;
    • в каких целях и что именно допустимо с ними делать;
    • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

    Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

    Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

    На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

    • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
    • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

    С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

    Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

    Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

    • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
    • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
    Читайте также:  Льготы многодетным семьям: какие положены и как получить

    Однако оба довода являются спорными.

    Согласие на обработку персональных данных

    В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

    Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

    Сторона, получающая личные сведения, обязана:

    • заручиться согласием их владельца на обработку и использование;
    • обеспечивать конфиденциальность;
    • хранить документ, подтверждающий, что владелец разрешил работать с ними.

    ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

    Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

    Комментарий к статье 88 ТК РФ

    Комментируемая статья устанавливает в императивной форме требования к работодателям, которые они должны соблюдать при передаче персональных данных работника.

    Прежде всего работодатель при передаче персональных данных работника не должен сообщать эти данные третьей стороне без письменного согласия работника (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других случаях, установленных федеральным законом), а также не должен сообщать их в коммерческих целях без согласия работника.

    Все эти и другие требования, закрепленные в ст. 88 ТК и регламентирующие порядок передачи персональных данных работника, имеют очень важное значение для их защиты в соответствии с действующим законодательством.

    Трудовой кодекс не предусматривает возможности беспрепятственного получения работодателем информации о работнике от третьих лиц. Закон делает особый акцент на том, что персональные данные работника следует получать только у него самого.

    Штрафы за неуведомление Роскомнадзора

    Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

    Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

    Суть охраны персональных данных в 2020 году

    Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”.

    Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 Закона).

    В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.

    Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), лучше оформить такое согласие письменно.

    Если у работодателя уже есть согласие работника на обработку персональных данных, то получать новый документ на 2019-2020 год не нужно.

    В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.

    Для чего нужно письменное согласие работника на обработку его данных

    Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:

    • определение круга сведений, являющихся персональными;
    • установление условий обработки, хранения и уничтожения данных их получателем;
    • описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
    • перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
    • определение ответственности лиц, разгласивших персональную информацию.

    Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).

    Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):

    • в удостоверении личности (паспорте);
    • трудовой книжке;
    • свидетельстве ПФР;
    • документах об обучении;
    • документах воинского учета;
    • дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.

    Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.

    Защита персональных данных работника

    Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

    Читайте также:  Продажа доли в квартире без согласия других собственников

    Примеры:

    • работодатель, обрабатывающий ПД своих работников;
    • продавец, обрабатывающий ПД клиентов-граждан;
    • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
    • владельцы сайтов, собирающие ПД пользователей сайта.

    Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

    Согласие на обработку ПД должно быть оформлено:

    • письменно, если того требует закон (см. выше);
    • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

    Пункты, которые обязательно должно содержать письменное согласие:

    • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
    • название организации или Ф.И.О. и адрес оператора;
    • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
    • перечень ПД, которые будет обрабатывать оператор;
    • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
    • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
    • срок, на который выдано согласие;
    • способ отзыва согласия;
    • подпись.

    Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).

    Ответственность работодателя за незаконное разглашение персональных данных

    Случаи, когда работодатель пренебрежительно относятся к нормам закона, предусматривающего обязанность сохранения в тайне персональных данных работника, отнюдь не редки. На вопрос о том, в каких случаях разглашение персональных данных является неправомерным, ответ однозначен – во всех, при которых не было получено согласие их носителя.

    Чаще всего распространению подвергается информация о доходах сотрудников, что, безусловно, может иметь негативные последствия. Ответственность за совершение подобных действий варьируется от дисциплинарной до уголовной. Поэтому работник, которому стало известно о разглашении своих персональных данных работодателю, вправе обратиться за защитой в правоохранительные органы.

    Однако эффективнее всего будет подача жалобы в региональное управление Роскомнадзора – органа, призванного осуществлять защиту прав физических лиц в сфере обработки их персональных данных. В случае, если доводы жалобы будут подтверждены, Роскомнадзор либо самостоятельно привлечет недобросовестного работодателя к административной ответственности по статье 13.14 КоАП России, либо передаст собранные материалы в прокуратуру для решения вопроса о возбуждении уголовного дела по ст. 137 УК РФ.

    Доказать факт незаконного распространения личной информации непросто, но вполне возможно. Для этого необходимо заручиться показаниями свидетелей и очевидцев, а также, представить письменные или электронные подтверждения, если они имеют место быть. Идеальный вариант – поддержка со стороны лица, получившего незаконно разглашенные сведения.

    Что входит в «персональные данные»?

    В ФЗ-152 дано четкое определение, что такое персональные данные и какая информация относится к ним. Согласно этому законодательному акту к ним можно отнести:

    • ФИО человека;
    • паспортные данные и информацию из других документов человека;
    • дата и место его рождения;
    • характеристики личности (вероисповедание, состояние здоровья, наличие или отсутствие судимостей и др.).

    Обычно, их принято условно разделять на три группы:

    1. Общедоступные. Установочные данные человека, место и дата его рождения, а также гражданином какой страны он является.
    2. Биометрические. Физиологические особенности организма человека, например, наличие у него группы инвалидности и его внешние биологические параметры
    3. Специальные. Включают в себя принадлежность человека к определенной национальности, его вероисповедание, здоровье. Сюда же в какой-то мере относится место его трудоустройство, а также привычки и судимости.

    При этом согласие на обработку только, если собираются данные для хранения и использования из второй и третьей группы.

    Ответственность за разглашение персональных данных

    За разглашение персональных данных 137 ук рф устанавливает несколько видов наказаний.

    Сбор и распространение данных о частной жизни без согласия на это лица может наказываться:

    • Штраф до 200 тыс. р.;
    • Зарплата или другой доход за 18 месяцев;
    • Обязательные работы до 360 часов;
    • Исправительные работы до 1 года;
    • Принудительные работы до 2 лет с лишением возможности занимать конкретные должности на срок до 3 лет;
    • Арест до 4 месяцев;
    • Лишение свободы до 2 лет с лишением возможности занимать должность на срок до 3 лет.

    Если нарушение было произведено с использованием служебного положения:

    • Штраф от 100 тыс. до 300 тыс. р.;
    • Зарплата или другой доход от 1 до 2 лет;
    • Лишение права находиться на должности в период от 2 до 5 лет;
    • Принудительные работы до 4 лет с лишением возможности занимать конкретные должности на период до 5 лет;
    • Арест до 6 месяцев;
    • Лишение свободы до 4 лет с лишением возможности занимать должность на период до 5 лет.

    Что грозит за разглашение персональных данных

    Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

    Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

    Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

    В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *