Гражданское право

Обработка персональных данных работодателем

Оставить коментарий на Обработка персональных данных работодателем

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Согласие работника на обработку персональных данных
2. Риски при нарушении требований к обработке персональных данных работников организации
3. Для чего нужен приказ о назначении ответственного за обработку данных
4. Приказы. Государственные организации
5. Материалы и документы о защите персональных данных
6. Кто такой ответственный за персональные данные
7. Должностная инструкция
8. В каких случаях потребуется уведомление Роскомнадзора
9. Как уведомить Роскомнадзор о сборе персональных данных
10. Разработка положения о персональных данных работников
11. Как правильно оформить приказ о персональных данных

Закон не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Напомним, что под «обработкой персональных данных» понимается любое действие или операция с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных», далее – Закон о персональных данных).

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Риски при нарушении требований к обработке персональных данных работников организации

    В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

    • — на граждан — от 500 до 1 000 руб.;
    • — на должностных лиц — от 4 000 до 5 000 руб.

    Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

    За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

    В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

    • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
    • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
    • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

    Для чего нужен приказ о назначении ответственного за обработку данных

    Законная обработка персональных данных — современные реалии. Государство и надзирающие органы уделяют все больше внимания указанной сфере. А в трудовой деятельности есть ряд строгих запретов. Есть требования о запрете обработке специальных категорий персональных данных. А также запрет получать персональные данные от иных, кроме работника, лиц. Передача персональных данных работника регламентируется также достаточно строго. Обязанность оформить приказ у работодателя прямо не предусмотрена законом. Но разработать и утвердить такой приказ — значит, назначить лицо, которое будет отвечать за организацию обработки данных. Как уже мы сказали выше, при отсутствии приказа, ответственность несет руководитель и само юридическое лицо.

    Читайте также:  Порядок расчёта больничного листка по уходу за ребёнком в 2022 году

    Приказы. Государственные организации

    В государственных компаниях правильность ведения документации (в том числе приказов по кадрам и основной деятельности) регламентируется следующими документами:

    • ГОСТ Р 7.0.97-2016

    • Постановление Госстандарта РФ от 03.03.2003 N 65-ст «О принятии и введении в действие государственного стандарта Российской Федерации» (вместе с «ГОСТ Р 6.30-2003. Государственный стандарт Российской Федерации. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов»)

    • Приказ Минкультуры РФ от 25.08.2010 N 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»

    • Постановление Госкомстата РФ от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»

    Материалы и документы о защите персональных данных

    Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций.

    27 июля 2006 года был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Закон вступил в силу 1 июля 2011 года. Действие закона распространяется не только на бумажные носители, но и на электронные средства (такие как автоматизированные информационные системы и электронные базы данных).

    Наше учреждение является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей), а также физических лиц, состоящих в иных договорных отношениях с учреждением. Для соблюдения требований закона «О персональных данных» (далее — ПДн) детский сад должен получить от сотрудников и родителей (законных представителей) каждого воспитанника СОГЛАСИЕ НА ОБРАБОТКУ ПДн (на основании статьи 6, п. 1 № 152-ФЗ «О персональных данных).

    Учреждение обрабатывает и защищает сведения о сотрудниках, детях и их родителях (законных представителях) на правовом основании.

    • Правовое основание защиты персональных данных:
    • Конституция РФ;
    • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
    • Федеральный закон от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
    • Федеральный закон от 30.12.2001 г. № 195-ФЗ «Кодекс Российской Федерации об административных правонарушениях» (ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»);
    • Федеральный закон от 13.06.1996 г. № 63-ФЗ «Уголовный кодекс Российской Федерации» (ст. 137 «Нарушение неприкосновенности частной жизни»);
    • Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ (ст. 85-90);
    • Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
    • Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Совместный приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»;
    • Гражданский кодекс РФ;
    • Налоговый кодекс РФ;
    • Устав учреждения.
    • Категории персональных данных сотрудников ДОУ, воспитанников и родителей (законных представителей) несовершеннолетних:
    • фамилия, имя, отчество;
    • пол;
    • дата рождения;
    • место рождения;
    • документ удостоверяющий личность;
    • адрес регистрации;
    • фактический адрес места жительства;
    • номер полиса обязательного медицинского страхования;
    • сведения о состоянии здоровья, находящиеся в медицинской карте воспитанника;
    • социальное положение;
    • жилищные условия;
    • документы при установлении опеки;
    • контактные телефоны; сведения о гражданстве;
    • паспортные данные;
    • сведения о воинской обязанности;
    • сведения о трудовом стаже;
    • сведения о предыдущем месте работы;
    • сведения о составе семьи;
    • сведения о социальных льготах;
    • информация об образовании;
    • СНИЛС;
    • ИНН;
    • сведения об аттестации;
    • сведения о повышении квалификации;
    • сведения о профессиональной переподготовке;
    • сведения о наградах (поощрениях, почетных званиях);
    • личное фото и фотографии;
    • видеоматериалы с личным участием;

    Цель обработки персональных данных: обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании», а также иными нормативно-правовыми актами Российской Федерации в области образования.

    • Оператор вправе:
    • размещать обрабатываемые персональные данные в автоматизированных информационных системах и бумажных носителях, с целью предоставления доступа к ним ограниченному кругу лиц: воспитанникам, родителям (законным представителям), а также административным и педагогическим работникам детского сада;
    • размещать фотографии сотрудника, родителя (законного представителя),воспитанника (фамилию, имя, отчество) на стендах в помещениях дошкольной организации и на официальном сайте ДОУ);
    • предоставлять данные сотрудника, воспитанника для участия в дошкольных городских, окружных, всероссийских и международных конкурсах, олимпиадах, викторинах, выставках и т.д.;
    • производить фото- и видеосъемки сотрудника, воспитанника для размещения на официальном сайте ДОУ и СМИ с целью формирования положительного имиджа детского сада;
    • включать обрабатываемые персональные данные сотрудника, родителя (законного представителя), воспитанника в списки (реестры) и отчетные формы, предусмотренные нормативными документами окружного, муниципального и дошкольного уровней, регламентирующих предоставление отчетных данных.
    Читайте также:  На Кубани региональный материнский капитал в 2023 году вырастет до 147 тысяч

    Кто такой ответственный за персональные данные

    Все действия с персональными данными работников на предприятии регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ, локальными нормативными актами. Априори за сохранность всей информации отвечает работодатель, но он вправе назначить лицо, ответственное за их обработку, защиту и контроль за соблюдением законодательства. Это не снимает ответственности с работодателя, но позволяет делегировать часть своих полномочий для рационального распределения своих обязанностей в этой сфере. Эти обязанности возлагаются либо на одного сотрудника, либо на группу из административно-управленческого аппарата. Они выполняются дополнительно наряду с основными трудовыми функциями сотрудника.

    Кого назначить ответственным, решает работодатель. Специальных требований нет. Чаще всего эти обязанности поручаются тем работникам, которым для выполнения основного функционала необходим доступ к таким сведениям: специалист отдела кадров, бухгалтер, секретарь. Допускается поручить и любому другому сотруднику. Эта работа строго регламентирована локальными нормативными актами и должностной инструкцией.

    Должностная инструкция

    Права, функции и обязанности этого специалиста, пределы его полномочий определяет и детализирует должностная инструкция ответственного за обработку персональных данных — особый организационно-распорядительный документ, в котором определен порядок действий при каждой операции с персональными данными. Четкая форма инструкции законодательно не установлена. Допускается просто перечислить в ней основные должностные обязанности. Но чем подробнее будут описаны все производственные процессы, тем меньше вероятность возникновения разногласий как с работниками, так и с законодательством.

    Самый распространенный вид инструкции — документ, содержащий следующие разделы:

    • общие положения;
    • функции;
    • обязанности;
    • права;
    • ответственность.

    Также в документе прописывают положения о порядке его изменения, ссылки на законодательные акты.

    В каких случаях потребуется уведомление Роскомнадзора

    С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

    • получаемых и обрабатываемых в рамках трудового законодательства;
    • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
    • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
    • разрешенных физлицом для распространения;
    • включающих в себя только фамилии, имена и отчества физлиц;
    • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

    Как уведомить Роскомнадзор о сборе персональных данных

    Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

    • наименование компании (ФИО ИП) и ее адрес;
    • цель обработки персональных данных (например, заключение трудовых договоров);
    • категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
    • категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
    • правовое основание обработки персональных данных;
    • перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
    • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
    • ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
    • предполагаемая дата начала обработки персональных данных;
    • срок или условие прекращения обработки персональных данных;
    • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
    • сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
    • сведения об обеспечении безопасности персональных данных.
    Читайте также:  Полезные материалы для бухгалтерии и бизнеса

    Направить уведомление можно следующими способами:

    • в бумажном виде,
    • в электронном виде с использованием усиленной квалифицированной электронной подписи,
    • в электронном виде с использованием средств аутентификации ЕСИА.

    Разработка положения о персональных данных работников

    Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

    Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

    При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

    1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
      • до 70 тысяч рублей (для юридического лица);
      • до 5 тысяч рублей (для ИП).

    Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

  • В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
    • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
    • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
    • производится с добровольного согласия работника, предоставленного в письменном виде.

    • Как правильно оформить приказ о персональных данных

    Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

    В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

    Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

    Основная часть приказа о персональных данных должна содержать:

    • собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
    • указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
    • указание ответственному лицу ознакомить работников с распорядительным документом;
    • определить работника, который будет контролировать исполнение (может быть сам руководитель).

    Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

    Приказ может состоять из следующих разделов:

    1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
    2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
    3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
    4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
    5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
    6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

    Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

    Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *