Главная » Штрафы » Персональные данные работника должен ли заключаться договор. Налоговый и бухгалтерский учет. Защита персональных данных работника

Персональные данные работника должен ли заключаться договор. Налоговый и бухгалтерский учет. Защита персональных данных работника

Ответим на вопрос, что относится к персональным данным работника организации. Согласно ст. 3 , персональные данные работника это любые сведения о нем.

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проведении проверки соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании незаконным данного предписания Роскомнадзора.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ . (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013)

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка фирмой-работодателем таких данных может производиться только при соблюдении ряда условий. В числе таковых — согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Кроме того, гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным , срок хранения персональных данных работника составляет 75 лет.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждый сотрудник должен быть ознакомлен с этим документом под роспись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Свои требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие данного локальный нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Так, например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

Обратите внимание, что сообщать какую-либо информацию о сотруднике по телефону недопустимо.

Судебная практика

Д. обратился в суд с иском о признании незаконным передачи работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ . К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ .

В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

Конфиденциальная информация в трудовых отношениях Иванов Дмитрий Викторович

2.2. Персональные данные в трудовом договоре

В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85–90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника. Персональные данные – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных – получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношений по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе.

Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить (ст. 65 ТК РФ; Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», которым утверждена форма Личной карточки работника). Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Общие требования к обработке персональных данных и гарантии их защиты закреплены в ст. 86 ТК РФ. Согласно ст. 87 ТК РФ защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами.

Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов.

Защита персональных данных предусмотрена законом как на стадии их получения (п. 8 ст. 86 ТК РФ), так и на стадии передачи (ст. 88 ТК РФ), хранения и использования (ст. 89 ТК РФ).

Работники, которым в установленном законом порядке переданы сведения о персональных данных работника, обязаны не допускать их разглашения. В случае нарушения этого правила, когда сведения, составляющие врачебную, семейную и другую тайну, становятся достоянием других лиц, виновные несут за это ответственность.

В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина – обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны». Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально «мониторить» работника».

К числу нормативных актов, входящих в правовую базу регламентации отношений по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных», Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например, Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной. Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами. Развивая эту мысль, выскажем следующие соображения.

Действительно, с развитием соответствующего законодательства отношения в сфере конфиденциальной информации все более приобретают некий обособленный, самостоятельный и, как представляется, межотраслевой характер. Имея в виду, прежде всего и главным образом, трудовое право, нельзя не заметить, что применительно к его сложному и неоднородному предмету, эти так называемые информационные отношения могут входить в состав как индивидуального трудового правоотношения (уместно вспомнить характерное название ст. 5 Закона «Об информации…»: «Информация как объект правовых отношений»), так и, очевидно, быть самостоятельным видом отношений, связанных с ним. Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

На уровне Федерального закона «О персональных данных» и в целях его применения впервые в отечественной практике определены следующие основные понятия:

– персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

– обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

– распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

– использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

– информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Федеральным законом «О персональных данных» регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.

Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).

Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.2011), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора по управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

Обработка персональных данных должна осуществляться на основе принципов:

– законности целей и способов обработки персональных данных и добросовестности;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– недопустимости объединения созданных для несовместимых между собой баз данных информации.

Из книги Договорное право. Книга первая. Общие положения автора Брагинский Михаил Исаакович

1. Понятия о договоре Применение договоров на протяжении уже нескольких тысяч лет объясняется помимо прочего тем, что речь идет о гибкой правовой форме, в которую могут облекаться различные по характеру общественные отношения. Основное назначение договора сводится к

Из книги Гражданский кодекс РФ. Часть вторая автора Законы РФ

Статья 759. Исходные данные для выполнения проектных и изыскательских работ 1. По договору подряда на выполнение проектных и изыскательских работ заказчик обязан передать подрядчику задание на проектирование, а также иные исходные данные, необходимые для составления

Из книги Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 10 мая 2009 года автора Коллектив авторов

Из книги Права пациентов на бумаге и в жизни автора Саверский Александр Владимирович

4. Данные о защите прав пациентов Согласно упоминавшейся справке ФФОМС по итогам 2006 г. «из 70 300 обоснованных жалоб, признанных таковыми и разрешенных в досудебном порядке, 65,9 % случаев рассмотрено СМО (46345) и удовлетворено 63 258 обращений (90 %), в т. ч. 15 644 с материальным

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г. автора Автор неизвестен

Из книги Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 1 ноября 2009 г. автора Автор неизвестен

Статья 759. Исходные данные для выполнения проектных и изыскательских работ 1. По договору подряда на выполнение проектных и изыскательских работ заказчик обязан передать подрядчику задание на проектирование, а также иные исходные данные, необходимые для составления

Из книги Федеральный закон «О государственной гражданской службе Российской Федерации». Текст с изменениями и дополнениями на 2009 год автора Автор неизвестен

Глава 7. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ГРАЖДАНСКОГО СЛУЖАЩЕГО. КАДРОВАЯ СЛУЖБА ГОСУДАРСТВЕННОГО ОРГАНА Статья 42. Персональные данные гражданского служащего и ведение личного дела гражданского служащего 1. При обработке, хранении и передаче персональных данных гражданского

Из книги Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" автора Петров Михаил Игоревич

Статья 42. Персональные данные гражданского служащего и ведение личного дела гражданского служащего 1. При обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 10 сентября 2010 г. автора Коллектив авторов

Статья 11. Биометрические персональные данные Комментарий к статье 111. Физиологические особенности человека являются одной из форм выражения личности, свойствами ее проявления вовне, по отражению которых можно идентифицировать субъекта. Признание физиологических

Из книги Шпаргалка по информационному праву автора Якубенко Нина Олеговна

Статья 404. Рассмотрение коллективного трудового спора в трудовом арбитраже Трудовой арбитраж представляет собой временно действующий орган по рассмотрению коллективного трудового спора, который создается в случае, если стороны этого спора заключили соглашение в

Из книги Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 21 октября 2011 года автора Коллектив авторов

55. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В мире и в Европе отношения, связанные с обращением персональных данных, регулируются достаточно давно. Актуальность и своевременность принятия законов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным

Из книги Гражданский кодекс РФ автора ГАРАНТ

СТАТЬЯ 759. Исходные данные для выполнения проектных и изыскательских работ 1. По договору подряда на выполнение проектных и изыскательских работ заказчик обязан передать подрядчику задание на проектирование, а также иные исходные данные, необходимые для составления

Из книги Римское право. Шпаргалки автора Смирнов Павел Юрьевич

Из книги Правоведение автора Мардалиев Р. Т.

72. Волеизъявление в договоре Наличие сторон в договоре предполагает, что на предмет договора они имеют разные точки зрения или находятся в конфликте, вследствие чего им приходится заключать соглашение и прописывать права и обязанности. Существование договора

Из книги Конфиденциальная информация в трудовых отношениях автора Иванов Дмитрий Викторович

5.1. Общие положения о трудовом праве РФ Понятие трудового права. Основные источники трудового права РФ Трудовое право – это отрасль права, нормы которой регулируют отношения между людьми в процессе их совместной трудовой деятельности.Трудовые правоотношения не следует

Из книги автора

Глава 2 Конфиденциальная информация в трудовом

Необходимо ли брать согласие с работника при заключении с ним трудового договора или когда сотрудник пишет заявление о приеме на работу он уже тем самым дает согласие на обработку своих персональных данных?

Ответ

Ответ на вопрос:

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" персональные данные - это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие или осуществляющие обработку таких данных, а также определяющие цели и содержание обработки (п. 2 ст. 3 Закона № 152-ФЗ).

Понятие "обработка персональных данных" включает в себя весь спектр действий (операций) с персональными данными, в том числе: их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение.

Следовательно, в силу Закона № 152-ФЗ как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту. Обработка таких данных осуществляется только с письменного согласия сотрудников .

Однако, в отдельных случаях обработка персональных данных возможна и без согласия сотрудника .

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Таким образом, можно сказать, что в соответствии с законодательством, в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления, и выполнения возложенных законодательством России на оператора функций, брать согласие с сотрудника на обработку персональных данных не нужно .Исключение составляет предоставление персональных данных третьим лицам . При этом, организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу, так как согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Таким образом, считаем, что брать согласие при заключении трудового договора вовсе не обязательно, т.е. в рамках трудового договора вы имеете право обрабатывать персональные данные без согласия, а в случае передачи данных третьим лицам вам в любом случае нужно будет брать согласие на каждый конкретный случай.

Подробности в материалах Системы Кадры:

  1. Ответ: Как организовать обработку персональных данных сотрудников

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Ситуация: Можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ ();
  • налоговые органы ();
  • ФФОМС, ФСС России ();
  • военные комиссариаты ();
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями

Готовый план главных дел кадровика на I квартал 2019 года
Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году


  • Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.

  • Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.

  • Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.
    • Обязан ли работодатель требовать от работников письменное согласие на обработку персональных данных, в том числе при заключении трудового договора? Необходимо ли брать данное согласие с работников, с которыми заключен до вступления в силу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"? Существуют ли установленные перечни объемов обрабатываемых работодателем персональных данных, которые нельзя превышать?

    В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ (далее - Закон N 152-ФЗ) обработка персональных данных может осуществляться только в установленных данной статьей случаях. Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку (п. 1 ч. 1 указанной статьи). Буквальное толкование данной нормы позволяет заключить, что в иных случаях получение согласия на обработку персональных данных не требуется. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

    Таким образом, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется. Однако отсутствие согласия работника исключает возможность осуществления работниками кадровых служб многих стандартных действий, необходимость которых не вытекает из трудового договора. Так, например, без согласия работника работодатель не может получить и хранить копии предоставленных им при приеме на работу документов, содержащих в себе информацию, не требующуюся для исполнения трудового договора (например, информацию о месте рождения), в том числе паспорта (постановление ФАС Северо-Кавказского округа от 11.03.2014 N Ф08-480/14 по делу N А53-10287/2013, постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 N 15АП-15175/13, решение Арбитражного суда Ростовской области от 14.11.2013 N А53-12557/2013). Также работодатель без согласия работника не может обрабатывать его контактные данные (номер телефона, электронную почту и т.д.), поскольку отсутствие данной информации не влечет за собой невозможность исполнения трудового договора.

    Если же работодатель все-таки планирует обрабатывать такую информацию, ему необходимо получить согласие работника. В соответствии с ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Из данной нормы следует, что в общем случае согласие работником может быть дано в том числе и в устной форме, однако работодателю в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия (ч. 3 ст. 9 Закона N 152-ФЗ). Кроме того, для отдельных категорий персональных данных законом прямо установлена необходимость получения именно письменного согласия на их обработку (ч. 1 ст. 11, п. 1 ч. 2 ст. 10 Закона N 152-ФЗ). Такой вид обработки персональных данных, как их передача, также возможен только с письменного согласия работника, за исключением установленных законом случаев (ст. 88 ТК РФ).

    Требования к содержанию письменного согласия для случаев, когда такое согласие необходимо в силу закона, установлены ч. 4 ст. 9 Закона N 152-ФЗ. Так, согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

    1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

    2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

    3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

    4) цель обработки персональных данных;

    5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

    6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

    7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

    8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

    9) подпись субъекта персональных данных.

    В иных случаях специальных требований к содержанию согласия на обработку персональных данных, если такое согласие дается в письменной форме, законом не установлено. Однако к такому согласию применяются общие требования ч. 1 ст. 9 Закона N 152-ФЗ, в соответствии с которыми согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Это значит, что работодателю в любом случае необходимо указать, какой конкретно объем информации, в какой форме и для каких целей он планирует обрабатывать (абзац третий п. 5 разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012; далее - Разъяснения Роскомнадзора).

    Отметим, что в качестве формы получения письменного согласия на обработку персональных данных можно рассматривать и включение соответствующего пункта в трудовой договор, если его содержание будет отвечать требованиям, предъявляемым к содержанию указанного согласия (абзац четвертый п. 5 Разъяснений Роскомнадзора).

    Законодательством не установлено требований к объемам персональных данных, которые работодатель вправе обрабатывать с согласия субъекта персональных данных. Субъект персональных данных вправе передать оператору любые персональные данные, которые стороны данных правоотношений посчитают нужными. В зависимости от вида передаваемых данных будут различаться лишь требования, предъявляемые законодателем к форме согласия на обработку таких данных и к самому порядку такой обработки.

    В силу существующих общеправовых принципов нормативные правовые акты обратной силы не имеют и распространяют свое действие на отношения, возникшие после вступления их в силу (определения Конституционного Суда РФ от 16 июля 2009 года N 691-О-О, от 15 июля 2010 года N 958-О-О, от 17.11.2011 N 1614-О-О). Таким образом, любые отношения, связанные с обработкой персональных данных, возникшие после вступления в силу Закона N 152-ФЗ, должны подчиняться установленным этим законом требованиям независимо от даты возникновения иных отношений (в том числе трудовых) между субъектом персональных данных и оператором. Следовательно, в настоящий момент обработка персональных данных работников, в том числе принятых до даты вступления в силу Закона N 152-ФЗ, возможна только в случаях, предусмотренных ч. 1 ст. 6 указанного закона.

    Н.А. Мацепуро, юрист

    Оформляем документы для защиты личных данных работников

    С июля этого года Закон о персональных данныхФедеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) действует в новой редакциист. 3 Федерального закона от 25.07.2011 № 261-ФЗ . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работникип. 2 ст. 3 Закона № 152-ФЗ . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.

    Положение о персональных данных

    Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работниковп. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ ; п. 8 ст. 86 , статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего - Положением о персональных данных.

    Внимание

    С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работниковч. 1 ст. 18 Закона № 152-ФЗ ; п. 8 ст. 86 , ст. 88 ТК РФ .

    Вот что должно содержаться в Положении о ПД:

    • перечень обрабатываемых ПДп. 2 ст. 3 Закона № 152-ФЗ . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
    • цели обработки ПДп. 2 ст. 3 , ч. 2 ст. 5 Закона № 152-ФЗ . Их можно переписать из Трудового кодексап. 1 ст. 86 ТК РФ ;
    • перечень действий с ПДп. 2 ст. 3 Закона № 152-ФЗ . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п.п. 3 ст. 3 Закона № 152-ФЗ В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

    Рассказываем руководителю

    За нарушение порядка обработки ПД предусмотрена административная ответственностьст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов РоскомнадзораРешение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушенийп. 82 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630 ; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805 ; ФАС ВСО от 12.05.2011 № А33-10809/2010 , от 05.04.2011 № А19-25289/09 , Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафовст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательствач. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютсяПостановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .

    • права и обязанности работников в сфере обработки ПДп. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодексаст. 14 Закона № 152-ФЗ ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработкеч. 1 ст. 14 , ч. 1 ст. 18 , ч. 1 ст. 20 Закона № 152-ФЗ ;
    • порядок обработки ПД, в том числе хранения, использования и передачип. 8 ст. 86 , статьи 87, 88 ТК РФ . Здесь нужно указать:

    Общие требования к обработке ПДстатьи 5-7 , ст. 9 Закона № 152-ФЗ ; ст. 86 , ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самогоп. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сборач. 4 ст. 5 Закона № 152-ФЗ ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работникаст. 7 Закона № 152-ФЗ ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПДп. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работникамст. 88 ТК РФ ;

    Состав и перечень ваших мер по обеспечению защиты ПДст. 18.1 , ст. 19 Закона № 152-ФЗ . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

    • ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственностьст. 90 ТК РФ ; ч. 1 ст. 24 Закона № 152-ФЗ .

    Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.

    Приказ о назначении ответственного лица

    Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПДч. 1 ст. 22.1 Закона № 152-ФЗ .

    К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.

    Для назначения ответственного работника издайте об этом приказ. Например, такой.

    Общество с ограниченной ответственностью «Стройцентр»

    ПРИКАЗ № 25-к

    г. Москва

    Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

    ПРИКАЗЫВАЮ:
    1. Назначить главного бухгалтера Гарипову Г.А. с 04.07.2011 ответственной за организацию обработки персональных данных.
    2. Внести изменения в должностную инструкцию Гариповой Г.А. в связи с новым назначением.
    3. Установить Гариповой Г.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.

    С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.

    Согласие работника на обработку персональных данных

    Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно . Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.

    Предупреждаем руководителя

    Работники, считающие, что их ПД обрабатываются с нарушениями , могут пожаловаться в органы Роскомнадзора. Последние обязаны рассмотреть обращение и провести внеплановую проверкуч. 2 ст. 23 , пп. 1, 2 ч. 5 ст. 23 Закона № 152-ФЗ ; пп. 27.4, 27.5 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630 . Поэтому во избежание лишней нервотрепки лучше все же иметь основные документы по обработке и защите ПД.

    Также согласия не требуется и в случаях:

    • сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативеп. 5 ч. 1 ст. 6 Закона № 152-ФЗ ;
    • сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанностип. 2 ч. 1 ст. 6 Закона № 152-ФЗ ;
    • передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателемп. 5 ч. 1 ст. 6 Закона № 152-ФЗ ;
    • обработки общедоступных ПД работниковп. 10 ч. 1 ст. 6 Закона № 152-ФЗ . Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.

    В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласиеп. 1 ч. 1 , ч. 3 ст. 6 , ст. 7 , ч. 3 ст. 9 Закона № 152-ФЗ ; ст. 88 ТК РФ . К примеру, при передаче:

    • сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
    • копий дипломов работников лицензирующему органу для получения лицензии;
    • ПД работников сторонней организации, оказывающей услуги по ведению бухучета.

    Что должно содержать согласие, покажем на примереч. 4 ст. 9 Закона № 152-ФЗ .

    СОГЛАСИЕ
    на обработку персональных данных

    Я, Иванов Иван Иванович, паспорт серии 77 08 № 123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО «Стройцентр» (г. Москва, ул. Большая Пироговская, д. 53, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Нивал» (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 03.03.2011.

    Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.

    Уведомление об обработке персональных данных

    До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомлениеч. 1 ст. 22 Закона № 152-ФЗ ; приложение к Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом Роскомнадзора от 19.08.2011 № 706 .

    Однако работодатели от такой обязанности освобожденыпп. 1, 2 ч. 2 ст. 22 Закона № 152-ФЗ . При этом то, каким способом вы обрабатываете ПД работников (вручную, на компьютере или смешанно), не важно. И пусть вас не смущают положения Закона о ПД, предписывающие уведомлять органы Роскомнадзора об обработке ПД с использованием средств автоматизации. Они действуют, только если вы обрабатываете ПД еще и иных граждан. Это нам подтвердили и в Роструде.

    Из авторитетных источников

    Заместитель руководителя Федеральной службы по труду и занятости

    “ Организации, являющиеся работодателями, а также заказчиками работ, выполняемых физическими лицами по договорам подряда, обрабатывают персональные данные этих лиц и признаются операторами персональных данных.

    Оператор до начала обработки персональных данных обязан уведомить орган Роскомнадзора о своем намерении осуществлять обработку персональных данныхч. 1 ст. 22 Закона № 152-ФЗ , за исключением некоторых случаевч. 2 ст. 22 Закона № 152-ФЗ . К таким случаям, в частности, относятся персональные данные, обрабатываемые в соответствии с трудовым законодательством.

    Таким образом, организация, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не должна уведомлять уполномоченный орган об обработке персональных данных вне зависимости от того, каким способом они обрабатываются” .

    Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:

    • <если> вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) - уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г.ч. 1 ст. 22 , ч. 2.1 ст. 25 Закона № 152-ФЗ ;
    • <если> вы обрабатываете лишь ПД работников в соответствии с трудовым законодательством - письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона № 152-ФЗч. 4 ст. 20 Закона № 152-ФЗ .

    Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информациист. 19.7 КоАП РФ ; Постановление Верховного суда РФ от 05.08.2011 № 20-АД11-3 ; Постановление ФАС ЦО от 11.08.2011 № А64-6408/2010 .

    Договор на обработку персональных данных третьим лицом

    Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотретьч. 3 ст. 6 Закона № 152-ФЗ :

    • перечень его действий с ПД;
    • цели обработки им ПД;
    • его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
    • требования к защите им ПД.

    Например, можно включить в договор такой раздел.

    ДОГОВОР
    оказания услуг по ведению бухгалтерского учета

    г. Москва

    8. Условия обработки Исполнителем персональных данных работников Заказчика.

    8.1. Исполнитель по поручению Заказчика в целях расчета заработной платы, пособий и иных выплат, а также составления и сдачи отчетности в органы ФНС России и внебюджетные фонды совершает все необходимые действия по обработке персональных данных работников Заказчика.

    8.2. Исполнитель обязуется соблюдать конфиденциальность полученных при исполнении настоящего договора персональных данных и обеспечивать их безопасность при обработке, принимая все необходимые меры в соответствии с требованиями действующего законодательства.

    8.3. По окончании действия настоящего договора Исполнитель обязуется прекратить обработку персональных данных работников Заказчика, передав ему всю подготовленную во исполнение договора документацию, содержащую такие данные, и удалив их из своих электронных баз данных.

    Документы по обеспечению доступа к персональным данным

    Доступ к ПД работников должны иметь только специально уполномоченные лицаст. 88 ТК РФ . Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказомп. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 ; п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 № 781 .

    Предупреждаем работников

    За разглашение ПД других работников можно уволитьподп. «в» п. 6 ч. 1 ст. 81 ТК РФ .

    В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку.

    Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.

    Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашениист. 90 ТК РФ ; п. 43 Постановления Пленума Верховного суда РФ от 17.03.2004 № 2 . А можно прописать такую обязанность и в трудовом договоре.

    Трудовой договор № 25

    г. Москва

    3. Обязанности Работника.

    3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.

    Документы по защите персональных данных в информационных системах

    Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПДп. 3 ч. 1 ст. 18.1 , ч. 2 ст. 19 Закона № 152-ФЗ . Подробно рассматривать эту документацию мы не будем. Ведь составлять ее - это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.

    Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).

    С Планом проверок Роскомнадзора можно ознакомиться на его сайте : раздел «Планирование, отчеты о деятельности» → «Планы проверок»

    И не забывайте, что операторы обработки ПД - это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ф. и. о., должности, номера телефона, даты рождения.

    При этом самое важное - не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.



    Просмотров

    Детские каши кулинарные рецепты Каши для детей 1
    Детские каши кулинарные рецепты Каши для детей 1
    Как приготовить рулетики из свинины, фаршированные сырно-овощной начинкой?
    Как приготовить рулетики из свинины, фаршированные сырно-овощной начинкой?
    Бризоль из фарша. Пошаговый рецепт с фото
    Бризоль из фарша. Пошаговый рецепт с фото
    Словарь музыкальных терминов Музыкальный словарь терминов для школьников
    Словарь музыкальных терминов Музыкальный словарь терминов для школьников
    Василий Филиппович Маргелов
    Василий Филиппович Маргелов
    ЛФК (лечебная физкультура)
    ЛФК (лечебная физкультура)