Бесплатная горячая линия

8 800 700-88-16
Главная - Трудовое право - Под персональными данными работников понимается информация необходимая

Под персональными данными работников понимается информация необходимая

Под персональными данными работников понимается информация необходимая

Персональные данные сотрудника: как с ними работать

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

20 августа Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ () и (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что

«сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»

. Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена .

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании.

Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу?

Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия?

Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы.

Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор. Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д. В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них.

Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу. Но есть и исключения, когда такое согласие не требуется:

  1. при самостоятельном размещении резюме в интернете.
  2. если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Можно воспользоваться . Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям .

Это значит, что:

  1. анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  2. в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  3. в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  4. в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле. В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя. Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно , запрашиваются:

  1. паспорт или иной документ, удостоверяющий личность;
  2. документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  3. трудовая книжка;
  4. при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется.

Когда он подписывает трудовой договор, то тем самым уже дает свое согласие. Многие организации при приеме на работу оформляют работникам зарплатную карту.

В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно. При этом важно, чтобы:

  1. была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
  2. перечень персональных данных строго соответствовал тому, что передается в банк;
  1. соответствующая форма и система оплаты труда прописана в коллективном договоре ().
  2. договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  3. у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство».

Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно. Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике. Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в . В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам.

Делать это без согласия работника нельзя. Роскомнадзор в своих рекомендациях формулирует следующие требования:

  • Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  • Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  • Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно .

Противоположная ситуация — это поощрение работника в виде доски почета.

Но и здесь есть свои тонкости. Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием. В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  1. если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со .
  2. компания самостоятельно осуществляет пропускной режим;

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные .

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета. Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется. Загрузить ещё

Персональные данные работника: за сохранность и защиту спрашивают строже.

Еще вам будет интересно:

  1. Персональные данные: требования законодательства и ответственность за его несоблюдение.
  2. Соблюдаем закон о персональных данных: что надо учесть
  3. Когда пользователь ККТ — оператор персональных данных клиента.

Федеральным законом от 07.02.2016 № 13-ФЗ[1] (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений[2].

С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ[3] (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями Новые административные штрафы.
В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст.

13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов. Норма ст. 13.11 Состав административного правонарушения Размер штрафа, тыс. руб. Часть 1 Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч.

2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50. Вместо штрафа может быть сделано предупреждение Часть 2 Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных* Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75 Часть 3 Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30.

Вместо штрафа может быть сделано предупреждение Часть 4 Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40. Вместо штрафа может быть сделано предупреждение Часть 5 Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45.

Вместо штрафа может быть сделано предупреждение Часть 6 Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50 * Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров. Полномочия по возбуждению дел об административных правонарушениях по ст.

13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ).

Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ). К сведению: Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты.

Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Подчеркнем, что новые административные штрафы будут применяться с 1 июля 2017 года.

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором. Персональные данные. Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы[4]. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных.

Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу.

Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных. К категории персональных данных относятся, к примеру, такие сведения:

  1. адрес (место регистрации);
  2. фамилия, имя, отчество;
  3. образование, профессия;
  4. доходы, имущество и имущественные обязательства.
  5. дата и место рождения;
  6. семейное, социальное и имущественное положение;

Это общие персональные данные.

Помимо них, в Законе № 152-ФЗ упоминаются:

  1. биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.
  2. специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;

К сведению: Персональные данные работников, как правило, содержатся в следующих документах:

  1. в паспорте или ином документе, удостоверяющем личность;
  2. в анкете, заполняемой при трудоустройстве;
  3. в личной карточке работника (форма Т-2);
  4. в свидетельствах о заключении брака, рождении ребенка;
  5. в трудовой книжке;
  6. в документах о воинском учете, образовании, составе семьи;
  7. в медицинских справках; и др.
  8. в справке о доходах с предыдущего места работы;

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек. Обработка персональных данных. Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых).

Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ). Цели обработки персональных данных определены ч.

1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ. Цели обработки персональных данных →

  1. обеспечение соблюдения законодательства;
  2. содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  3. обеспечение личной безопасности работников

Основные принципы обработки персональных данных →

  1. при обработке данных должны быть обеспечены их точность и достаточность, а в необходимых случаях – актуальность по отношению к целям обработки;
  2. обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей;
  3. хранение данных должно осуществляться в форме, позволяющей определить их субъекта, не дольше, чем этого требуют цели их обработки*
  4. содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки;

* Согласно ст.

87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ). Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно.

При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных. Оператор. Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ). Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение.

Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников. Причем в соответствии с ч. 1 ст.

18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом.

Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации.

Этого же от оператора требуют ст.

86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч.

3 ст. 13.11 КоАП РФ. Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ[5]. Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

  1. перечень сведений, относимых к категории персональных данных;
  2. условия и порядок хранения персональных данных сотрудников.
  3. кто и в каком порядке имеет доступ к полученным персональным данным;
  4. какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
  5. меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
  6. процедуру уточнения персональных данных работников, их блокировку и уничтожение;
  7. порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
  8. перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;

Важный нюанс: работодателю следует учесть требование ч.

8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления.

Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре. Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства.

Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона. Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

  1. либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.
  2. без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии? Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

  • Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
  • При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
  • Подпись работника.
  • Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
  • Цель обработки персональных данных.
  • Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
  • Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
  • Наименование или Ф. И. О. и адрес работодателя.
  • Перечень персональных данных, которые подлежат обработке.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено.

Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял.

Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения. Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора[6].

По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см.

таблицу). Не нужно оформлять согласие работника на обработку персональных данных, если они получены Источник Из документов (сведений), предъявляемых при заключении трудового договора Статья 65, ч.

4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ По результатам обязательного предварительного медицинского осмотра о состоянии здоровья Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат) Пункт 2 Разъяснений Роскомнадзора От кадрового агентства, действующего от имени соискателя на вакантную должность Пункт 5 Разъяснений Роскомнадзора Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц Пункт 10 ч.

1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений. Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз.

2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание: Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ). В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных* Источник Третьим лицам в целях предупреждения угрозы жизни и здоровью работника Абзац 2 ст.

88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора Во внебюджетные фонды Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора В налоговые органы и военные комиссариаты Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем Статья 370 ТК РФ, абз.

5 п. 4 Разъяснений Роскомнадзора По мотивированному запросу органов прокуратуры и правоохранительных органов Абзац 7 п.

4 Разъяснений Роскомнадзора По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом Абзац 5 ст.

228 ТК РФ * Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли.

Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия. [1]

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

. [2] Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

[3] «О персональных данных». [4] См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013. [5] Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации.

При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ. [6]

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»

. Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Актуальные вопросы бухгалтерского учета и налогообложения, №3, 2017 год

Персональные данные работника вопросы и ответы

Вы здесь Опубликовано 2008-09-12 19:53 пользователем HRTrud «Кадровик. Кадровый менеджмент», 2007, N 1 Что такое персональные данные работника? Под персональными данными работника понимаются сведения о фактах, событиях и обстоятельствах жизни и трудовой деятельности работника, необходимые предприятию в связи с трудовыми отношениями, посредством которых возможно идентифицировать личность работника.

В персональные данные работника включается следующая информация: — фамилия, имя, отчество; — год, месяц, дата и место рождения; — адрес проживания; — семейное, социальное, имущественное положение; — образование, профессия; — доходы. Зачем работодателю персональные данные работника?

Постановление Госкомстата России от 5 января 2004 г. N 1

«Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»

предписывает каждому работодателю независимо от организационно-правовой формы заполнять на каждого работника личную карточку формы N Т-2. В нее заносятся сведения о месте жительства работника, о знании им иностранных языков, о состоянии в браке и даже о составе семьи.

Кроме того, с предоставлением работником сведений о частной жизни связано получение определенных льгот. Например, при наличии у работника несовершеннолетнего ребенка он имеет право подать заявление на получение ежемесячного налогового вычета.

Если же сам работник является инвалидом, то он имеет право на сокращенную продолжительность рабочего времени и отпуск без сохранения заработной платы продолжительностью до 60 дней. Что такое персональный учет (обработка персональных данных работника)? Под персональным учетом (обработкой персональных данных работника) понимается порядок получения, хранения, комбинирования, передачи или любое другое использование персональных данных работника, а также их гарантии и защита.

Какие требования должны соблюдаться при получении и обработке персональных данных работника на предприятии? — Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

— При определении объема и содержания обрабатываемых персональных данных работника предприятие руководствуется Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.

— Все персональные данные работника предприятие получает у него самого.

— Предприятие не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст.

24 Конституции Российской Федерации предприятие вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. — Предприятие не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. — При принятии решений, затрагивающих интересы работника, предприятие не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

— Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена предприятием за счет собственных средств в порядке, установленном федеральным законом.

— Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

— Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Почему на предприятии необходим локальный нормативный акт — Положение о защите персональных данных работников?

Работодатель обязан осуществлять сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Порядок работы с персональными данными работников определен гл.

14 Трудового кодекса. Работники должны быть ознакомлены под роспись с документом работодателя, устанавливающим порядок обработки персональных данных, а также права и обязанности работников в этой области (п.

8 ст. 86 ТК РФ). Передавать персональные данные работника в пределах одной организации можно только в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись (ст. 88 ТК РФ). Поэтому локальный акт, определяющий порядок сбора, обработки, хранения и использования персональных данных работников, в организации должен быть обязательно.

Что необходимо включать в Положение о защите персональных данных работников?

I. Общие положения. В этом разделе можно сказать, что положение разработано в соответствии Конституцией и Трудовым кодексом Российской Федерации и определяет порядок обработки и защиты персональных данных работников организации.

II. Перечень документов, в которых содержатся сведения, составляющие персональные данные работников. К таким документам относятся: — документы, предъявляемые работником при заключении трудового договора; — документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей; — документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры; — документы о состоянии здоровья детей и других близких родственников (например, справки об инвалидности), когда с наличием таких документов связано предоставление работнику каких-либо гарантий и компенсаций; — документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС); — документы о беременности работницы и возрасте детей для предоставления матери (отцу, иным родственникам) установленных законом условий труда, гарантий и компенсаций. III. Основные условия проведения сбора и обработки персональных данных работника.

Эти условия определены ст. 86 Трудового кодекса.

Назовем некоторые из них: — сбор и обработка персональных данных работника могут осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, и только в объеме, отвечающем целям сбора и обработки персональных данных; — все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; — защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств, в порядке, установленном федеральными законами; — работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

IV. Формирование и ведение дел, касающихся персональных данных работника.

В этом разделе можно отметить, что персональные данные работника содержатся в основном документе персонального учета работников — в личной карточке работника, которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в отделе кадров в специально оборудованных несгораемых шкафах в алфавитном порядке в пределах структурного подразделения. Работодатель обеспечивает ограничение доступа к персональным данным работников лицам, не уполномоченным законом либо работодателем для получения соответствующих сведений.

V. Хранение и использование персональных данных работника.

Здесь нужно прописать, как будут храниться и использоваться персональные данные в вашей организации.

Например, следующим образом. Сведения о работниках предприятия хранятся на электронных носителях на сервере организации, а также на бумажных и электронных носителях в отделе кадров. Личные карточки работников, уволенных из организации, хранятся в архиве организации в алфавитном порядке в течение 50 лет с даты увольнения.

Доступ к персональным данным работников без получения специального разрешения имеют генеральный директор, главный бухгалтер и начальник отдела кадров. Кроме этого, ограниченный доступ к персональным данным работников в пределах своей компетенции по письменному запросу имеют лица, определенные приказом генерального директора.

VI. Передача персональных данных работника.

Требования к порядку передачи персональных данных установлены статьей Трудового кодекса. Обратите внимание на следующие из них: — не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом; — разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций; — передавать персональные данные работника представителям работников в установленном порядке и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций. VII. Права работников по обеспечению защиты персональных данных, хранящихся у работодателя.

Работники имеют право на полную информацию об их персональных данных и обработке этих данных, свободный бесплатный доступ к своим персональным данным.

Работники могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований. VIII. Обязанности работника по обеспечению достоверности его персональных данных. Чтобы обеспечить достоверность персональных данных, работники обязаны предоставлять работодателю сведения о себе.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+