Обработка персональных данных работника
Последний раз обновлено:
Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:
- паспортные данные;
- семейное положение;
- сведения об образовании;
- номер страхового свидетельства обязательного пенсионного страхования;
- сведения о трудовой деятельности и др.
Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.
Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).
Обратите внимание: не допускается передача личных сведений о работнике с коммерческой целью без письменного согласия самого работника (ст. 88 ТК РФ).
Персональные данные работника организация использует для выполнения своих обязанностей в рамках трудового, налогового и бухгалтерского законодательства. Компания вправе обрабатывать персональные данные сотрудника без его согласия, если их объем не превышает установленный законом норматив. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные, если это предусмотрено коллективным договором, локальными актами компании, которые составлены в порядке, установленном статьей 372 Трудового кодекса РФ.
Но Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных», обеспечить безопасность этой информации.
Согласие работника на обработку персональных данных
Все работодатели обязаны получить со своих сотрудников согласие на обработку их персональных данных. Согласно общим правилам, обрабатываться данные работников могут только с их согласия (п. 1 ст. 6 Закона № 152-ФЗ).
Вот пример письменного согласия работника на обработку его персональных данных.
Генеральному директору
СОГЛАСИЕ
Настоящим даю свое согласие Обществу с ограниченной ответственностью «Весна» (ООО «Весна»), расположенному по адресу: 987654, г. Москва, ул. Нижние Мневники, д. 8, корп. 1, офис 1, на автоматизированную, а также без использования средств автоматизации обработку, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение следующих моих персональных данных:
Настоящее согласие на обработку персональных данных дается мной, на основании статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», в целях:
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
|
Предлагая работнику подписать согласие на обработку персональных данных, следует пояснить, что он вправе вычеркнуть из списка ту информацию, которую он не хочет предоставлять для обработки.
Если работник отказывается подписать согласие на обработку его персональных данных, ему можно объяснить, что без его согласия нельзя будет, к примеру, оформить полис ДМС, поздравить с днем рождения, сделать подарки детям, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, а если если в организации действует пропускной режим, то выписать или заменить сотруднику пропуск. То есть попытаться убедить его дать согласие на обработку данных.
Согласие работника на распространение персональных данных
Согласие на обработку персональных данных, разрешенных для распространения, нужно оформлять отдельно от других согласий на обработку персональных данных. Это правило действует с 1 марта 2021 года (Федеральный закон от 30 декабря 2020 года № 519-ФЗ).
С этого момента получения одного согласия на обработку персональных данных недостаточно. Если компания собирается совершать какие-либо действия с полученными о сотруднике сведениями, в результате чего они станут известны третьим лицам, то необходимо получить письменное согласие работника, разрешающее их распространение.
Например, компания размещает информацию о сотрудниках на своем сайте. Теперь для этого ей нужно согласие работника на распространение персональных данных.
В согласии на распространение персональных данных должны быть графы, в которых сотрудник отмечает, какую информацию о себе он разрешает распространять, а какую нет. Так, работник вправе решить, какую информацию о себе он разрешает работодателю разместить на корпоративном сайте, а какие сведения размещать запрещает.
При этом молчание или бездействие работника ни при каких обстоятельствах не является согласием на распространение его персональных данных.
Если сотрудник дал согласие только на обработку персональных данных, но не их распространение, то организация может обрабатывать полученные сведения, а права передавать их кому-либо еще не имеет. Но это не касается передачи персональных данных различным государственным структурам. Например, ФНС, СФР, полиции, следственным органам и т. д. Этим органам персональные данные о лице можно передавать без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Образец согласия на передачу персональных данных работника смотрите ниже.
Генеральному директору
СОГЛАСИЕ
Настоящим даю свое согласие Обществу с ограниченной ответственностью «Весна» (ООО «Весна»), расположенному по адресу: 987654, г. Москва, ул. Нижние Мневники, д. 8, корп. 1, офис 1, на обработку в целях размещения на корпоративном сайте www.vesna.ru следующих персональных сведений о себе в следующем порядке:
Сведения об информационных ресурсах ООО «Весна», посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:
Настоящее согласие дано на срок до _____________20гг.
|
Дисциплинарная ответственность работника, разглашающего персональные данные
Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит статья 86 Трудового кодекса.
Для исполнения данного обязанности работодателем должны быть приняты соответствующие локальные нормативные акты, направленные на защиту персональных данных работников, с которыми работники должны быть ознакомлены под роспись.
Статьей 90 ТК РФ установлено, что лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами.
Также они могут быть привлечены к гражданско-правовой, административной и уголовной ответственности.
Таким образом, к дисциплинарной ответственности за разглашение персональных данных можно привлечь работника, на которого возложены обязанности по обработке персональных данных и который при обработке персональных данных нарушил законодательство РФ.
Так разъяснил Минтруд России в письме от 11 марта 2024 г. № 14-6/ООГ-1418.
Как оштрафуют по КоАП за нарушения в работе с персональными данными
Ответственность за нарушение законодательства о персональных данных постепенно ужесточается. Штрафы грозят по статье 13.11 КоАП РФ.
Таблицу с размерами штрафов за нарушение закона о персональных данных смотрите ниже.
Нарушение | Размер штрафа | |||
Гражданину | Должностному лицу | ИП | Юридическому лицу | |
Обработка данных в случаях, непредусмотренных законом или обработка несовместимая с целями сбора |
от 1 000 до 3 000 рублей В первый раз может быть предупреждение |
от 5 000 до 10 000 рублей В первый раз может быть предупреждение |
от 30 000 до 50 000 рублей В первый раз может быть предупреждение |
|
Повторное нарушение в обработке персональных данных | от 4 000 до 12 000 рублей | от 20 000 до 50 000рублей | от 50 000 до 100 000 рублей | от 100 000 до 300 000 рублей |
Сбор и обработка персональных данных без согласия владельца, сбор данных в большем объеме, чем разрешено | от 10 000 до 15 000 рублей | от 100 000 до 300 000 рублей | от 300 000 до 700 000 рублей | |
Повторное нарушение по обработке данных без согласия | от 15 0000 до 30 000 рублей | от 300 000 до 500 000 рублей | от 500 000 до 1 000 000 рублей | Штраф от 1 000 000 до 1 500 000 рублей |
Непредставление доступа к документу, в котором изложена политика оператора в отношении персданных | от 1 500 до 3 000 рублей | от 6 000 до 12 000 рублей | от 10 000 до 20 000 рублей | от 30 000 до 60 000 рублей |
Не предоставление информации об обработке владельцу персональных данных | от 2 000 до 4 000 рублей | от 8 000 до 12 000 рублей | от 20 000 до 30 000 рублей | от 40 000 до 80 000 рублей |
Не выполнение требования владельца данных об удалении, исправлении, блокировке его данных | от 2000 до 4 000 рублей | от 8 000 до 20 000 рублей | от 20 000 до 40 000 рублей | от 50 000 до 90 000 рублей |
Повторное не выполнение требования владельца данных об удалении, исправлении, блокировке его данных | от 20 000 до 30 000 рублей | от 30 000 до 50 000 рублей | от 50 000 до 10 000 рублей | от 300 000 до 500 000 рублей |
Необеспечение сохранности данных, их утечка, копирование, взлом и распространение в неправомерных целях | от 1500 до 4 000 рублей | от 8 000 до 12 000 рублей | от 20 000 до 40 000 рублей | от 50 000 до 100 000 рублей |
Не обезличивание персональных данных (для государственных и муниципальных органов) | от 6 000 до 12 000 рублей | |||
Хранение данных граждан России за пределами РФ | от 30 000 до 50 000 рублей | Штраф от 100 000 до 200 000 рублей | От 1 000 000 до 6 000 000 рублей | |
Повторное нарушение по хранению данных граждан России за пределами РФ | от 50 000 до 100 000 рублей | от 500 000 до 800 000 рублей | от 6 000 000 до 18 000 000 рублей |
Участие третьих лиц в обработке персональных данных
Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.
Из этого правила есть исключение: работодатель вправе запрашивать информацию из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.
Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.
Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно в случаях:
- это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
- это предусмотрено законодательством.
Например, статья 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур.
Другой случай - выплата пособий на детей чернобыльцам.
Гражданам, подвергшимся воздействию радиации вследствие катастрофы на Чернобыльской АЭС, с 1 июля 2016 года взамен двукратного пособия по уходу за детьми предоставляется твердая ежемесячная выплата на каждого ребенка до достижения им возраста 3 лет (постановление Правительства России от 28 июня 2016 года № 588).
Ежемесячная выплата на ребенка до достижения им возраста полутора лет составляет 3000 рублей, в возрасте от полутора до трех лет – 6000 рублей.
Пособие предоставляется гражданам:
- постоянно проживающим (работающим) на территории зоны проживания с правом на отселение;
- постоянно проживающим (работающим) на территории зоны проживания с льготным социально-экономическим статусом;
- постоянно проживающим (работающим) в зоне отселения до их переселения в другие районы.
При этом перед датой рождения (усыновления) ребенка, на которого назначается выплата, или установлением над ним опеки, необходимо соблюдение условия их постоянного проживания и (или) работы:
а) в зоне отселения – не менее 1 года;
б) в зоне проживания с правом на отселение – не менее 3 лет;
в) в зоне проживания с льготным социально-экономическим статусом – не менее 4 лет.
Эти пособия чернобыльцам выплачивают органы соцзащиты. Заявления на их получения лицо, претендующее на выплату, подает по месту жительства или работы (или только по месту жительства, если оно совпадает с местом работы). От работодателя же требуется по запросу уполномоченного органа предоставлять сведения, подтверждающие нахождение получателя в трудовых отношениях с организацией (работодателем), а также адрес места нахождения организации (ее обособленного подразделения, отдельного рабочего места получателя) в населенных пунктах, включенных в перечень мест, проживание в которых дает право на пособие (п. 11 Постановления № 588).
Уведомление об обработке данных в Роскомнадзор
С 1 сентября 2022 года работодатели, которые начинают обрабатывать или уже обрабатывают персональные данные сотрудников, обязаны сообщать об этом в Роскомнадзор. Исключение - случаи:
- когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности
- если оператор обрабатывает данные исключительно без средств автоматизации.
Приказом от 28 октября 2022 года Роскомнадзор России утвердил формы уведомлений:
- о намерении начать обработку персональных данных
- об изменении сведений, содержащихся в уведомлении о намерении вести обработку персданных
- о прекращении такой обработки.
Предельный срок уведомления Роскомнадзора об обработке персональных данных пока не определен.
Уведомление об изменении сведений, содержащихся в уведомлении о намерении на обработку персданных
Читайте также ситуации по теме: