Понятие персданных
В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.
Будьте внимательны: сведения о зарплате – также персональные данные. Об этом сказано в письме Роскомнадзора от 7 февраля 2014 № 08КМ-3681. За то, что бухгалтер неправильно хранит или защищает данные о начислениях и выплатах сотрудникам, предусмотрена ответственность. Например, без согласия сотрудника нельзя сообщать его бывшей жене информацию о зарплате.
Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и статье 10 Закона от 27 июля 2006 № 152-ФЗ.
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 № 152-ФЗ).
Общедоступные персданные
Общедоступная информация – это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах 1, 2 статьи 7 Закона от 27 июля 2006 № 149-ФЗ.
Общедоступные персональные данные – данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).
Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.
При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 № 152-ФЗ).
Ситуация: относится ли фотография к персональным данным
Согласие на обработку персданных
По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:
фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
подпись сотрудника.
Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 № 152-ФЗ.
При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).
Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 № 152-ФЗ.
Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).
С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 № 152-ФЗ).
Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012.
Ситуация: нужно ли получать согласие на обработку персональных данных сотрудника для изготовления ему бейджика
Ответ на вопрос зависит от цели изготовления бейджика. Согласие потребуется, если эта процедура не подпадает под случаи, когда обработка данных не требуется.
Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу, то есть конкретному сотруднику. Примерами такой информации могут быть в том числе фамилия, имя, отчество сотрудника. Об этом говорится в пункте 1 статьи 3 Закона от 27 июля 2006 № 152-ФЗ.
В общем случае на обработку персональных данных сотрудника требуется его согласие (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона от 27 июля 2006 № 152-ФЗ). Вместе с тем, в законе предусмотрены исключительные случаи, когда получать согласие не нужно. Например, если обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании. Или если обработка персональных данных проводится при осуществлении пропускного режима на территории служебных зданий и помещений работодателя при условии, что организацию пропускного режима работодатель осуществляет самостоятельно. Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012.
Таким образом, если изготовление бейджа исходя из цели подпадает под указанные исключения, то получать дополнительное согласие работника не нужно. Если же не подпадает и изготовление бейджа относится к разовой процедуре, не связанной напрямую с трудовой деятельностью работника, то получить согласие нужно.
Универсальное согласие
Ситуация: можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения
Нет, нельзя.
Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены частью 1 статьи 88 Трудового кодекса РФ.
В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако пунктом 1 статьи 9 Закона от 27 июля 2006 № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в пункте 4 статьи 9 Закона от 27 июля 2006 № 152-ФЗ.
Обработка персданных исполнителей по ГПД
Ситуация: нужно ли получать письменное согласие на обработку персональных данных граждан, с которыми заключены гражданско-правовые договоры
Обработка данных без согласия
В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Об этом сказано в статье 6 Закона от 27 июля 2006 № 152-ФЗ.
К таким случаям относится передача сведений в:
Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
налоговые органы (ст. 24 НК РФ);
военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).
Кроме того, согласие не требуется в следующих случаях:
обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 № 323-ФЗ, Законом от 9 февраля 2009 № 8-ФЗ и рядом иных актов);
проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.
Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012.
Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012.
Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 № 152-ФЗ.
Передача данных в банк
Ситуация: нужно ли уведомлять и получать согласие сотрудников на передачу их персональных данных в банк для оформления зарплатных карт. Организация переходит на выплату зарплаты на банковские карты.
Да, нужно, при этом в отдельных случаях работодатель сможет передать такие данные и без согласия сотрудника.
Оформить письменное согласие сотрудника на обработку персональных данных можно при приеме на работу. При этом в дальнейшем сотрудник сможет отозвать свое согласие. Однако даже при отозванном согласии работодатель вправе продолжить обработку персональных данных сотрудников, если такая обработка требуется в рамках договоров, заключенных с ними (ч. 2 ст. 9 Закона от 27 июля 2006 № 152-ФЗ). С учетом указанного возможны следующие варианты.
Если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник согласен получать деньги на карту и при приеме на работу ознакомлен с этими документами, то при переходе на выплату зарплаты на банковские карты работодатель вправе обрабатывать данные и без согласия сотрудника. Объясняется это тем, что обработка таких данных предусмотрена в рамках заключенного трудового договора, за выполнение обязанностей по которому сотруднику должна быть выплачена зарплата на банковскую карту в соответствии с положениями локального документа о порядке выплаты. То есть работодатель будет действовать в интересах самого сотрудника в рамках заключенного с ним договора (ч. 2 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).
Если же в локальном документе предусмотрены варианты расчетов с сотрудниками или вообще данный момент не прописан, то сотрудники вправе самостоятельно решить, получать им зарплату через кассу или на банковскую карту. Важны условия трудового договора. В локальном акте работодателя можно прописать порядок действий, если все согласны, и постоянно заручаться согласием вновь поступивших.
Ситуация: нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты
Нет, не нужно, при условии, что в уже имеющихся согласиях не был указан конкретный банк, в который предоставляли данные. Если же предыдущее согласие было составлено под конкретный банк, то работодателю придется получить новое согласие по общим правилам (ст. 9 Закона от 27 июля 2006 № 152-ФЗ).
Кроме того, получать согласие не нужно, если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник при приеме или в процессе работы был ознакомлен с этими документами (ч. 2 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).
Передача данных в профсоюз
Ситуация: нужно ли уведомлять и получать согласие сотрудников на передачу их персональных данных профсоюзу на проверку
Нет, не нужно.
Профсоюзы вправе контролировать работодателей по вопросам соблюдения трудового законодательства. При такой проверке они знакомятся с информацией, относящейся к персональным данным, в том числе путем получения соответствующих документов работодателя. Однако эти действия профсоюза необходимы для осуществления профессионального контроля за соблюдением трудового законодательства, прямо предусмотрены законодательством и потому не требуют уведомления и получения согласия сотрудников на передачу их персональных данных.
При этом представители профсоюза, получившие документы, содержащие персональные данные сотрудников, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были представлены.
Такой вывод следует из совокупности положений статей 86, 88, части 1 статьи 370 Трудового кодекса РФ, пункта 2 части 1 статьи 6 Закона от 27 июля 2006 № 152-ФЗ и подтверждается письмом Роскомнадзора от 27 июня 2011 № ШР-13444.
Ситуация: обязан ли работодатель передавать оператору связи сведения о сотрудниках, которые имеют доступ к Интернету на рабочем месте
Да, обязан.
Все работодатели, включая индивидуальных предпринимателей, должны передавать оператору связи, который предоставляет им доступ к Интернету, список сотрудников, использующих ресурсы Интернета на рабочем месте. Такая обязанность установлена Правилами, утвержденными постановлением Правительства РФ от 10 сентября 2007 № 575.
Работодатель указывает в списке, представляемом оператору связи, следующие персональные данные сотрудников, которые используют Интернет на рабочем месте:
фамилию, имя, отчество;
местожительство;
реквизиты документа, удостоверяющего личность.
Данный список должен быть заверен руководителем организации, либо уполномоченным им лицом, или индивидуальным предпринимателем. При этом список нужно обновлять не реже одного раза в квартал.
Обязанность по представлению списка, а также конкретные сроки его представления должны быть зафиксированы в договоре, заключенном между работодателем и оператором связи.
Такой порядок установлен в пункте 22.1 Правил, утвержденных постановлением Правительства РФ от 10 сентября 2007 № 575.
Следует учесть, что работодатель может передавать такие персональные данные сотрудников оператору связи без получения их согласия. Объясняется это следующим. Согласие сотрудника на обработку его персональных данных не требуется, если такая обработка необходима для выполнения работодателем возложенных на него законодательством функций, полномочий и обязанностей в качестве оператора персональных данных. Поскольку обязанность по передаче оператору связи персональных данных сотрудников, использующих доступ в Интернет, установлена нормативно-правовым актом, то получать их согласие на такую передачу не нужно. Такие правила предусмотрены подпунктом 2 пункта 1 статьи 6 Закона от 27 июля 2006 № 152-ФЗ.
Уведомление Роскомнадзора
До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:
обрабатываемых в соответствии с трудовым законодательством;
сделанных сотрудниками общедоступными;
полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
относящихся к членам (участникам) общественного объединения или религиозной организации;
включающих в себя только фамилии, имена и отчества сотрудников;
необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 № 152-ФЗ.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 № 152-ФЗ).
В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме (ч. 7 ст. 22 Закона от 27 июля 2006 № 152-ФЗ).
Ситуация: что следует понимать под обработкой персональных данных сотрудника
Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации.
В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений пункта 3 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.
Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.
Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в пункте 6 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 № 687, статье 22.1 Закона от 27 июля 2006 № 152-ФЗ.
Кроме того, работодатель вправе поручить обработку персональных данных сторонней организации (ч. 3 ст. 6 Закона от 27 июля 2006 № 152-ФЗ). Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке (п. 3 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).
Защита персональных данных
Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.
Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.
Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.
Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:
уничтожение;
изменение;
блокирование;
копирование;
предоставление;
распространение;
иные неправомерные действия с персональными данными.
Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119.
Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).
При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 № 21.
Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119).
Положение о персональных данных
Ситуация: является ли Положение о работе с персональными данными сотрудников обязательным документом
Да, является.
Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).
Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 № КА-А40/10220-06).
Пример, как оформить Положение о работе с персональными данными сотрудников
Руководитель организации утвердил Положение о работе с персональными данными сотрудников.
Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.
Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных
Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.
Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 816 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119.
Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 № 1119.
Ситуация: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников
Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.
Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в статье 88 Трудового кодекса РФ.
Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:
сотрудники службы персонала;
сотрудники бухгалтерии;
генеральный директор и при необходимости его заместители;
руководители подразделений и непосредственные руководители.
При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений – в части персональных сведений исключительно по своим подчиненным.
Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению (п. 8 ч. 1 ст. 86 ТК РФ).
Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте
Нет, нельзя.
Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом говорится в пункте 1 статьи 3 Закона от 27 июля 2006 № 152-ФЗ.
Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).
Главбух советует: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. При этом к нему составьте приложение, в котором укажите список сотрудников согласных (или несогласных) на размещение персональных данных. Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.
В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».
Ситуация: вправе ли руководитель структурного подразделения требовать от бухгалтерии предоставления ежемесячной информации о начисленной зарплате подчиненных ему сотрудников
Сведения о начисленных сотрудникам суммах относятся к персональным данным (п. 1 ст. 3 Закона от 27 июля 2006 № 152-ФЗ). Непосредственный руководитель может их запрашивать, если соответствующий допуск установлен в локальном нормативном акте и получено согласие сотрудника на обработку его персональных данных.
Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.
Отказ на обработку данных
Ситуация: как поступить, если человек отказывается давать согласие на обработку его персональных данных
Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.
В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.
Такие правила установлены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 № 152-ФЗ.
Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 № 152-ФЗ).
Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.
Ситуация: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов
В соответствии со статьей 9 Закона от 27 июля 2006 № 152-ФЗ сотрудник предоставляет персональные данные о самом себе. Однако для заполнения личной карточки сотрудника работодателю нужны сведения о членах его семьи и ближайших родственниках. Если сотрудник отказывается предоставлять данные о родственниках, то работодатель не вправе требовать их предоставления (ч. 1 ст. 9 Закона от 27 июля 2006 № 152-ФЗ, п. 3 ст. 86 ТК РФ). В таком случае некоторые разделы личной карточки по форме № Т-2 останутся незаполненными по объективным причинам.
Чтобы избежать возможных претензий со стороны проверяющих органов и сотрудника, рекомендуется получить заявление сотрудника с его отказом от предоставления таких данных или зафиксировать такой отказ в акте. И акт и заявление можно составить в произвольной форме.
Обезличивание данных
В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 № 211). В частности, к таким случаям относится необходимость органов государственной власти и местного самоуправления размещать в открытом доступе документы, содержащие персональные данные, например, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 № 262-ФЗ).
Под обезличиванием персональных данных понимают действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 № 152-ФЗ).
В случае необходимости обезличивания персональных данных руководители организаций утверждают:
правила работы с обезличенными данными;
перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
Такие правила предусмотрены в подпункте «б» пункта 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 № 211.
Конкретные требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах, установлены в Требованиях и методах, утвержденных приказом Роскомнадзора от 5 сентября 2013 № 996.
Основным требованием к обезличиванию персональных данных является обеспечение не только защиты от несанкционированного использования, но и возможности их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных. К таким свойствам, в частности, относятся:
полнота, то есть сохранение всей информации о конкретных людях или группах людей, которая имелась до обезличивания;
структурированность, то есть сохранение структурных связей между обезличенными данными конкретного человека или группы людей, которые имелись до обезличивания;
применимость, то есть возможность решения задач обработки персональных данных без предварительного обезличивания всего объема записей о людях;
анонимность, то есть невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.
Такие правила установлены пунктами 3–4 Требований и методов, утвержденных приказом Роскомнадзора от 5 сентября 2013 № 996.
Основными требованиями к методам обезличивания персональных данных являются:
обеспечение требуемых свойств обезличенных данных;
соответствие предъявляемым требованиям к характеристикам методов;
реализация методов в различных программах;
решение поставленных задач обработки персональных данных.
К наиболее перспективным и удобным для практического применения относят следующие методы обезличивания:
метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
метод изменения состава или семантики, то есть изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
метод декомпозиции, то есть разбиение массива персональных данных на несколько частей с последующим раздельным хранением;
метод перемешивания, то есть перестановка отдельных записей, а также групп записей в массиве персональных данных.
Об этом сказано в пунктах 10–15 Требований и методов, утвержденных приказом Роскомнадзора от 5 сентября 2013 № 996.
Коммерческие организации в целях безопасности работы с персональными данными работников также вправе, но не обязаны заниматься обезличиванием (п. 3 ст. 3 Закона от 27 июля 2006 № 152-ФЗ). Если организация решит обезличивать персональные данные, то конкретный метод обезличивания нужно закрепить в локальном акте, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 № 152-ФЗ).
Проверки соблюдения требований к обработке персональных данных
Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).
Предметом контроля деятельности работодателя по обработке персональных данных являются:
документы, характер информации в которых предполагает или допускает включение в них персональных данных;
информационные системы персональных данных;
деятельность по их обработке.
Такие правила установлены пунктами 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 № 312.
Роскомнадзор осуществляет как плановые, так и внеплановые проверки в форме документарных или выездных (ст. 9–12 Закона от 26 декабря 2008 г. № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проведении проверок определен, соответственно, пунктами 6 и 7 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 № 312.
Сроки проверки деятельности работодателя по обработке персональных данных при проведении как плановой, так и внеплановой проверки не могут превышать 20 рабочих дней. При этом для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:
50 часов – для малого предприятия;
15 часов – для микропредприятия.
В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:
сложных и длительных исследований, испытаний;
специальных экспертиз и расследований.
Такие правила установлены статьей 13 Закона от 26 декабря 2008 № 294-ФЗ.
Руководитель или иное уполномоченное лицо проверяемой организации (индивидуального предпринимателя) обязаны предоставить должностным лицам Роскомнадзора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, если таковой не предшествовала документарная. Кроме этого, необходимо обеспечить доступ проверяющих должностных лиц на территорию организации, в используемые при осуществлении обработки персональных данных здания, строения, сооружения, помещения, а также обеспечить их доступ к используемому оборудованию. Такой порядок установлен пунктами 6, 70.5 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 № 312.
По результатам проверки соблюдения законодательства об обработке персональных данных составляется акт, форма которого утверждена приказом Минэкономразвития России от 30 апреля 2009 № 141. При выявлении нарушений дополнительно составляется предписание об их устранении. Такие правила установлены пунктами 76, 77, 85 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 № 312.
Если организация не согласна с выводами должностных лиц Роскомнадзора, а также с их действиями в ходе проверки, то она может обжаловать данные выводы или действия (п. 4 ст. 21 Закона от 26 декабря 2008 № 294-ФЗ).
Ответственность за нарушения в работе с персданными
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27 июля 2006 № 152-ФЗ).
К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).
За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц оштрафуют. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.
Размеры штрафов зависят от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организацию – на сумму от 15 000 до 75 000 руб. Подробнее о том, каковы штрафы за нарушения в работе с персональными данными, см. в таблице.
Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.
Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:
собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
За указанные нарушения предусмотрены следующие меры ответственности:
штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
обязательные работы на срок до 360 часов;
исправительные работы на срок до одного года;
принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
арест на срок до четырех месяцев;
лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:
штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
арестом на срок от четырех до шести месяцев;
лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Об этом говорится в статье 137 Уголовного кодекса РФ.
Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27 июля 2006 № 152-ФЗ. Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК РФ).
Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации
Да, можно.
Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.
Ситуация: можно ли в локальный акт организации включить условие об обязательном применении полиграфа в процессе трудовой деятельности сотрудников
Нет, нельзя.
Использование полиграфа в процессе трудовой деятельности (при трудоустройстве, установлении виновного в причинении ущерба работодателю и т. п.) Трудовым кодексом РФ не предусмотрено. Кроме того, медицинские, научные и иные опыты (в т. ч. полиграфическое тестирование) на людях без их добровольного согласия в Российской Федерации запрещены (ч. 2 ст. 21 Конституции РФ).
Таким образом, условие о возможности применения полиграфа может быть включено в локальные акты организации, при этом обязать сотрудника проходить проверку на полиграфе без его согласия работодатель не вправе.
Ситуация: можно ли в рабочих кабинетах установить системы видеонаблюдения
Да, можно, но по общему правилу с согласия сотрудников.
Видеонаблюдение в кабинетах – один из случаев обработки персональных данных сотрудников. В связи с чем в общем случае требуется согласие сотрудников на такую обработку (ст. 86 ТК РФ, ст. 9 Закона от 27 июля 2006 № 152-ФЗ). Исключение могут составлять ситуации, когда наличие видеоконтроля предусмотрено, например, нормами законодательства или связано с непосредственным выполнением трудовой функции сотрудников. Подробнее о случаях, когда согласие сотрудников на обработку персональных данных не требуется, см. в перечне исключений.
После получения согласия сотрудников и установления систем видеонаблюдения работодатель обязан обеспечить защиту полученной с помощью видеокамер информации и не допускать ее несанкционированного разглашения (ст. 19 Закона от 27 июля 2006 № 152-ФЗ).
Следует помнить, что негласное наблюдение за сотрудниками может быть расценено как нарушение гарантированной статьями 23, 24 Конституции РФ неприкосновенности частной жизни (см., например, определение Верховного суда РФ от 14 сентября 2006 № КАС06-326). Ведение скрытого, без информирования сотрудников, видеонаблюдения может повлечь для работодателя административную и уголовную ответственность (ст. 13.11 КоАП РФ, ст. 138.1 УК РФ).
При введении видеонаблюдения после заключения трудового договора Роскомнадзор в своих разъяснениях от 2 сентября 2013 рекомендует уведомлять сотрудников о нововведении за два месяца и оформить дополнительные соглашения к трудовому договору в порядке изменений организационного или технологического характера (ст. 74 ТК РФ).
В то же время суды при рассмотрении данного вопроса занимают противоположную позицию (см., например, апелляционное определение Алтайского краевого суда от 15 октября 2013 № 33-8403/2013), что предупреждать сотрудников о введении видеонаблюдения за два месяца не требуется. По мнению суда, наличие или отсутствие видеонаблюдения на рабочих местах не относится к существенным условиям трудового договора и введение видеонаблюдения никак не влияет и не изменяет трудовую функцию сотрудника и не сказывается на его рабочем процессе (ст. 57 ТК РФ). Достаточно внести изменения в Правила трудового распорядка или в иной локальный документ, регулирующий обустройство офисных помещений, и ознакомить с ним сотрудников.
С учетом указанного, чтобы минимизировать риски судебных разбирательств, работодателям следует придерживаться более безопасной первой позиции, то есть предупреждать сотрудников за два месяца до введения системы видеонаблюдения.
Ситуация: может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима
Да, может, если работодатель не относится к органам, которые обязаны проводить государственную дактилоскопию, и проводит дактилоскопию по своей инициативе при условии, что сотрудник дал согласие на ее проведение.
Дактилоскопия бывает двух видов: государственная и негосударственная.
Основные требования к проведению государственной дактилоскопической регистрации, а также органы, которые имеют право ее проводить, устанавливает Закон от 25 июля 1998 № 128-ФЗ. Так, например, право на проведение и использование дактилоскопической информации имеют суды, органы прокуратуры, предварительного следствия, дознания, органы, осуществляющие оперативно-разыскную деятельность, органы уголовно-исполнительной системы и т. п. Об этом говорится в статье 14 Закона от 25 июля 1998 № 128-ФЗ.
Негосударственную дактилоскопию работодатели вправе проводить по своей инициативе. Например, для организации пропускного режима в организацию. При условии, что организация не относится к органам, которые обязаны проводить государственную дактилоскопию (ст. 14 Закона от 25 июля 1998 № 128-ФЗ).
При этом следует учесть, что отпечатки пальцев относят к одному из видов персональных данных – биометрическим персональным данным (ч. 1 ст. 11 Закона от 27 июля 2006 № 152-ФЗ). Такие биометрические данные в общем случае можно обрабатывать только при наличии письменного согласия сотрудника. Исключение составляют случаи, в частности, связанные с осуществлением правосудия и исполнением судебных актов, оперативно-разыскной деятельностью, противодействием терроризму, коррупции и т. п. (ч. 2 ст. 11 Закона от 27 июля 2006 № 152-ФЗ).
Таким образом, если работодатель не относится к органам, которые обязаны проводить государственную дактилоскопию, и проводит дактилоскопию по своей инициативе, например, для организации пропускного режима, то он вправе снимать отпечатки пальцев сотрудников при наличии их согласия. Следует отметить, что если кто-то из сотрудников откажется давать свое согласие на дактилоскопию, то в этом случае организации придется использовать для них альтернативную пропускную систему. Например, пластиковые карты.
Ситуация: вправе ли работодатель читать переписку своих сотрудников
Да, вправе, если речь идет о переписке с рабочей электронной почты или других средств связи.
Работодатель может проверять, какую именно информацию сотрудник отправляет с электронной рабочей почты и связана ли такая корреспонденция с работой (ст. 57, 91 ТК РФ). В том числе работодатель вправе применять при необходимости средства, не противоречащие российскому законодательству, и методы технической защиты конфиденциальности информации, которая относится к коммерческой тайне (ст. 10 Закона от 29 июля 2004 № 98-ФЗ). Следует учесть, что вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих организации, и по оплаченным ею каналам связи или передачи данных, является служебной. Поскольку тайна переписки распространяется на лиц, участвующих в ее процессе только в том случае, если она ведется в свободное от работы время, на личном оборудовании при оплате этих средств и услуг оператора связи самостоятельно (ст. 22 Конституции РФ).
Так, например, за чтение личной электронной почты работников или сообщений ICQ (при условии, что такой вид связи не является общекорпоративным средством и для этого не формируются отдельные аккаунты) должностных лиц организации могут привлечь к уголовной ответственности вплоть до лишения свободы на срок до четырех лет, поскольку характер такой переписки личный (ст. 138 УК РФ).
Следует учесть, что доказательства, которые были получены при прочтении электронной переписки сотрудников с рабочей почты, будут иметь юридическую силу в суде только в том случае, если они были получены законным путем (ч. 2 ст. 55 ГПК РФ). Поэтому важно учитывать нормы закона при получении подобных доказательств. В частности, незаконным может быть признан мониторинг использования работником рабочей электронной почты, если работодателем прямо не был введен запрет на ее использование в личных целях, и работники заранее письменно не были предупреждены о контроле со стороны работодателя за соблюдением порядка использования почты. Правомерность такой позиции подтверждает и судебная практика, например, постановление Европейского суда по правам человека от 3 апреля 2007 г. по делу «Копланд (Copland) против Соединенного Королевства» жалоба № 62617/00.
Таким образом, если работодатель планирует контролировать работников через почту и другие виды корпоративной связи, необходимо прописать данное условие в локальном акте и знакомить с ним сотрудников при приеме на работу.
Ситуация: может ли организация передать персональные данные бывшего сотрудника его новому работодателю
Организация вправе предоставить персональные данные бывшего сотрудника по запросу нового работодателя только при наличии письменного согласия сотрудника.
При этом новый работодатель может запрашивать такую информацию только в том случае, если ее невозможно получить у самого сотрудника.
Такой вывод следует из положений пункта 3 статьи 86 Трудового кодекса РФ. Аналогичную позицию занимает Роскомнадзор в разъяснениях от 14 декабря 2012.
Ситуация: можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков
Да, можно, но только с письменного согласия самого сотрудника.
Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 № 152-ФЗ). При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными. Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными. Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФ, ст. 7 Закона от 27 июля 2006 № 152-ФЗ).
Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился.
Ситуация: обязан ли работодатель по запросу службы судебных приставов сообщать о факте работы в организации сотрудника-должника
Факт работы в организации относится к персональным данным сотрудника. Судебный пристав-исполнитель, ведущий исполнительное производство, вправе запрашивать у организации сведения о сотрудниках, в отношении которых состоялись судебные решения об уплате алиментов или иных видов присужденных платежей, в том числе и сведения, относящиеся к персональным данным. Данный запрос работодатель игнорировать не вправе. Такие правила установлены статьей 64 Закона от 2 октября 2007 № 229-ФЗ.
При этом работодатель вправе сообщать о факте работы в организации сотрудника-должника без его согласия о передаче персональных данных третьим лицам, так как в данном случае обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, подлежащего исполнению в соответствии с законодательством России об исполнительном производстве (п. 3 ч. 1 ст. 6, п. 6. ч. 2 ст. 10, ч. 2 ст. 11 Закона от 27 июля 2006 № 152-ФЗ).
Таким образом, работодатель обязан отреагировать на запрос службы судебных приставов о факте работы сотрудника-должника. Получать согласие сотрудника на передачу таких данных не нужно.
«Как организовать обработку персональных данных сотрудников». Н.З. Ковязина
© Материал из БСС «Система Главбух».
Подробнее:
http://usn.1gl.ru/#/document/11/17475/sf1/?of=copy-48f9cdaa30
