ГлавнаяУголовное правоКак работать с персональными данными работников с 1 сентября 2022 г.
29.04.2023

Как работать с персональными данными работников с 1 сентября 2022 г.

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников с 1 сентября 2022 г.». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Что относится к персональным данным работника
2. Что значит обрабатывать персональные данные
3. Общедоступные персональные данные
4. Требования к согласию
5. Нормативная база о персональных данных
6. Особенности работы с персональными данными
7. Новые штрафы за нарушение правил обработки персональных данных
8. Что входит в обязанности работодателя
9. Что изменится с 1 марта 2023
10. Как получить согласие на обработку персональных данных
11. Категории персональных данных
12. Как хранить и использовать?
13. Права работников на защиту персональных данных, хранящихся у работодателя
14. Обязанности работодателя по защите персональных данных работника

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Читайте также:  Судебный пристав превысил свои права или не исполнил обязанности

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Нормативная база о персональных данных

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

  1. паспорт гражданина РФ (или иной документ для подтверждения личности);
  2. трудовую книжку;
  3. ИНН и СНИЛС;
  4. диплом об образовании или квалификации;
  5. документы о воинской обязанности.

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Читайте также:  Как ИП уменьшить взносы в 2023 году

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

  • получение (сбор персональных данных);
  • структуризация;
  • хранение на любых носителях (в электронных и бумажных архивах);
  • анализ;
  • использование в коммерческой, социальной, государственной деятельности;
  • передача другим владельцам или предоставление доступа к базе;
  • обезличивание – устранение очевидной связи между человеком и его ПД;
  • блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
  • удаление и обновление;
  • ликвидация без возможности восстановления.
  • Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
  • Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
  • Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.

Раб. время— время, в течение кот. работник в соответствии с правилами внутреннего труд. распорядка и условиями труд. договора должен исполнять труд. обязанности, а также иные периоды времени, кот. в соответствии с труд. зак-вом относятся к раб. времени.

Видыраб. времени:

1. Нормальнаяпродолжительность раб. времени не может превышать 40 часов в неделю.

2. Сокращеннаяпродолжительность раб. времени устанавливается: — д/работников в возрасте до 16 лет — не более 24 час./нед.; — д/работников в возрасте от 16 до 18 лет — не более 35 час./нед.; — д/работников, являющихся инвалидами I или II группы, — не более 35 час./нед.; — д/работников, занятых на работах с вредными и опасными условиями труда, — не более 36 час./нед.

3. По соглашению м/д работником и работодателем могут устанавливаться как при приеме на работу, так и впоследствии неполный раб. день(смена) или неполная рабочая неделя. Работодательобязанустанавливать неполный раб. день (смену) или неполную рабочую неделю по просьбе беременной женщины, одного из родителей, имеющего ребенка в возрасте до 14 лет (ребенка-инвалида в возрасте до 18 лет), а также лица, осуществляющего уход за больным членом семьи в соответствии с мед. заключением.

4. Работа в ночное время— время с 22 часов до 6 часов. Продолжительность работы (смены) в ночное время сокращается на 1 час без последующей отработки.Не сокращаетсяпродолжительность работы (смены) в ночное время д/работников, кот. установлена сокращенная продолжительность раб. времени, а также д/работников, принятых специально д/работы в ночное время.

Категории персональных данных

Персональные данные делятся на категории:

  • общая;
  • специальная;
  • биометрические данные;
  • обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

  • отпечатки пальцев;
  • ДНК;
  • сканирование сетчатки;
  • распознавание радужки.

Как хранить и использовать?

Руководством предприятия устанавливается порядок, по которому осуществляется хранение и применение информации о сотрудниках. Указанные правила подлежат отражению в нормативах локального значения. Установлено, что они полностью должны отвечать требованиям законов.

Чаще всего документы, включающие сведения о человека, собираются в единый акт. Именуется он личным делом. Работодатель разрабатывает порядок ведения таких дел.

Перечень типовых управленческих документов устанавливает срок, в течение которого хранятся сведения. Постоянный срок хранения применим к тем, кто занимал руководящие должности. Аналогичные положения отнесены к сотрудникам, имеющим звания и награды, премии. Для других работников такой период равняется 75 годам. Главный акт, где отражена информация о работе – трудовая книжка.

В ней прописаны данные персонального значения. Порядок хранения такого акта отражен в Правилах, утвержденных Правительством под № 225. Согласно указанному документу на руководство компании возлагается ответственность за сохранность книжек. Руководитель вправе издать приказ и с его помощью переложить ответственность на другого сотрудника.

Руководство компании обязано создать условия для сохранности информации. Сохранить их требуется от доступа других лиц, уничтожений. В некоторых ситуациях стараются внести изменения или распространить сведения. Подобных ситуаций потребуется избегать.

Права работников на защиту персональных данных, хранящихся у работодателя

Статья 89 ТК РФ предусматривает, что в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

  • полную информацию об их персональных данных и об обработке этих данных.

К примеру, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225) работодатель обязан знакомить владельца трудовой книжки под подпись в личной карточке с каждой записью, вносимой в трудовую книжку (о выполняемой работе, о переводе на другую постоянную работу и увольнении);

  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.
Читайте также:  Образец заполнения анкеты на визу во Вьетнам

Следует иметь в виду, что действующим законодательством за отказ в предоставлении должностным лицом информации предусмотрена уголовная и административная ответственность (ст. 140 УК РФ — штраф от 200 до 500 МРОТ или доход осужденного за период от 2 до 5 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет; ст. 5.39 КоАП РФ — штраф от 5 до 10 МРОТ);

  • определение собственных представителей для защиты своих персональных данных. В основном представителями работников в отношениях с работодателями являются профсоюзы (в том числе и в вопросах защиты персональных данных), также работник может защищать свои права самостоятельно;
  • доступ работника к своим медицинским данным с помощью медицинского специалиста, которого вправе выбрать сам работник;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Так, согласно п. 27 указанных Правил работодатель обязан оказать работнику необходимую помощь в случаях выявления неправильной или неточной записи в трудовой книжке. При отказе работодателя исключить или исправить персональные данные работника последний вправе заявить в письменной форме о своем несогласии с его обоснованием. При этом персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Обязанности работодателя по защите персональных данных работника

Персональные данные являются конфиденциальной информацией, и на работодателя прямо возлагается обязанность по её защите от разглашения. В ходе работы с информацией в сфере трудовых взаимоотношений следует учитывать множество нюансов. Однако основные из них являются достаточно простыми. Так, работодатель вправе обрабатывать информацию без согласия трудящегося в следующих ситуациях:

  • При осуществлении предусмотренных законодательством мероприятий. То есть, при заключении и расторжении трудового договора, хранении архивной документации и иных необходимых процедурах, без которых невозможно будет реализовывать прямые требования законов и нормативных актов.
  • В случае, когда данная информация обрабатывается в связи с обращением полномочных государственных органов, имеющих право на данные действия. Например, когда обработка персональных данных работника производится при проведении проверки государственной инспекцией по труду, при полицейском расследовании или в целях налогообложения.
  • В экстренных ситуациях, когда обработка персональной информации необходима для предотвращения правонарушения, преступления, нанесения вреда здоровью или имуществу. В частности – при поиске без вести пропавшего сотрудника.
  • В целях обеспечения нормативов охраны труда, а также контроля за наличествующими показателями предприятия.
  • Если происходит обработка данных трудящегося внутри предприятия. Но таковые действия допустимы, только когда они предусмотрены локальными актами организации. Однако с означенными актами трудящийся должен быть ознакомлен до заключения трудового договора.

Обрабатываемые сведения о трудящемся могут быть получены лишь непосредственно от самого сотрудника. При этом работодателю запрещено любым образом обрабатывать персональные данные, не касающиеся напрямую трудовой деятельности или безопасности работников без их личного и отдельно выраженного информированного согласия.

Чтобы гарантировать защиту персональных данных работников, работодатель может использовать следующие действия:

  • Назначать ответственных за работу с личными данными сотрудников лиц.
  • Издавать отдельные внутренние акты, касающиеся порядка обращения с личной информацией.
  • Оценивать риски распространения информации и пути их предотвращения.
  • Проводить контроль за соблюдение правил обращения с данными о трудящихся.
  • Кроме этого, закон возлагает на работодателя определенные обязанности. К ним относятся:
  • Ведение учета наличествующих данных.
  • Использование средств и методов защиты личных данных сотрудников.
  • Проведение инструктажей по обработке данных.
  • Определение порядка учета и хранения сведений.

Работник в ходе осуществления трудовых взаимоотношений всегда имеет право выдвигать к работодателю определенные требования в отношении его личных данных. К таковым правам относятся:

  • Свободный, неограниченный и бесплатный доступ к собственным данным. Каждый работник вправе потребовать у работодателя отчета о том, какие именно персональные данные тот хранит и обрабатывает.
  • Уточнение и исправление информации. Трудящийся обладает правом требовать внесения исправлений в обрабатываемые или хранящиеся сведения, в том случае, если они перестали соответствовать действительности или были изменены, либо же просто являются недостоверными или содержат в себе неточности.
  • Уничтожение сведений. Трудящийся вправе потребовать прекращения обработки информации о себе. Однако в данном аспекте имеются определенные ограничения – означенное требование трудящийся может объявить только касательно тех сведений, которые не относятся прямо или косвенно к его работе. Также, допускается удаление сведений про трудящегося, лишь когда они не являются необходимыми соответственно локальным нормативам или действующему законодательству.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *