Что делать с персональными данными работников после 1 сентября 2022 года?
Что следует делать работодателям, чтобы обеспечить охрану персональных данных работников, и как уведомлять Роскомнадзор о намерении обрабатывать персональные данные, с учетом изменений законодательства, вступивших в силу 1 сентября 2022 года.
Защита персональных данных работников
Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (п. 1 Указа Президента РФ от 06.03.1997 № 188). Сбор, обработка, передача, хранение и иные действия с данной информацией должны выполняться в строгом соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ).
Закон не содержит четкого и исчерпывающего перечня сведений, которые являются персональными данными. Такой перечень в каждом случае определяется индивидуально (например, работодателем в Положении о персональных данных). Как правило, к персональным данным человека относят:
- Ф.И.О.;
- пол, возраст;
- образование, профессия, квалификация;
- семейное положение;
- место жительства;
- наличие судимости;
- размер доходов;
- прочие сведения, которые характеризуют человека и позволяют достаточно точно идентифицировать его (п. 1 ст. 3 Закона № 152-ФЗ).
Под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).
Лицо, осуществляющее обработку персональных данных, является оператором персональных данных (п. 2 ст. 3 Закона № 152-ФЗ). Таким образом, любой работодатель выступает в роли оператора персональных данных своих работников. Каждый работодатель обязан осуществлять защиту имеющихся у него персональных данных работников.
Закон позволяет работодателю вести обработку персональных данных как автоматизированным (с использованием вычислительной техники), так и неавтомазированным способом (обработка персональных данных считается неавтоматизированной, если в процессе использования, уточнения, распространения и уничтожения таких сведений непосредственно участвует человек). Выбирая способ, работодателю следует помнить, что при принятии решения, затрагивающего интересы работника, он не может основываться на данных, полученных исключительно в результате автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ).
Получение персональных данных работников
Получение персональных данных непосредственно от работника
По общему правилу все персональные данные работника должны быть получены от него самого (п. 3 ст. 86 ТК РФ). При определении перечня необходимых персональных данных работодатель должен учитывать, что их обработка может проводиться исключительно в целях соблюдения законодательства, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, сохранности имущества, а также контроля за выполняемой работой (ч. 1 ст. 86 ТК РФ).
Если работодатель обрабатывает персональные данные неавтоматизированным способом (без вычислительной техники), то формы документов, в которых содержатся такие данные, должны (п. 7 постановления Правительства РФ от 15.09.2008 № 687):
- содержать сведения о цели обработки персональных данных, адрес работодателя (оператора), фамилию, имя, отчество и адрес работника (субъекта персональных данных), источник получения персональных данных, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки;
- содержать поле с отметкой работника о согласии на обработку персональных данных без использования средств автоматизации – если письменное согласие на обработку персональных данных является обязательным условием;
- быть так составлены, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными из документа, не нарушая прав и законных интересов иных лиц;
- исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимые.
Закон не предъявляет жестких требований к формам документов при автоматизированной обработке персональных данных, поэтому работодатель может разработать их самостоятельно. Рекомендуем при этом соблюдать требования, приведенные выше.
Получение персональных данных работника от третьих лиц
В некоторых случаях персональные данные могут быть получены только у третьей стороны (например, у предыдущего работодателя). В этом случае работника следует уведомить о намерении запросить его персональные данные и получить его письменное согласие на это. Для этого необходимо составить и представить работнику на подпись документ с указанием на (п. 3 ст. 86 ТК РФ и ч. 3 ст. 18 Закона № 152-ФЗ):
- перечень необходимых работодателю персональных данных работника;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемых пользователей персональных данных;
- законные права субъекта персональных данных;
- способ и источник получения персональных данных;
- последствия отказа работника от дачи письменного согласия на их получение. Какие именно последствия могут быть, в законе не указано. В каждом конкретном случае такие последствия будут индивидуальными: например, недостаток информации о работнике может стать препятствием для дальнейших полноценных трудовых отношений.
Форма уведомления работника, а также его согласия на получение персональных данных у третьего лица нормативными актами не утверждены. Работодателю придется разработать их самостоятельно.
При этом законом предусмотрен ряд случаев, когда работника можно не уведомлять о получении его персональных данных у третьих лиц. Работодатель освобождается от этой обязанности, если (ч. 4 ст. 18 Закона № 152-ФЗ):
- работник уже уведомлен об осуществлении обработки его данных;
- данные получены на основании закона или в связи с исполнением договора, стороной, выгодоприобретателем или поручителем по которому является работник;
- персональные данные являются общедоступными;
- обработка данных осуществляется для статистических и иных исследовательских целей, осуществления профессиональной деятельности журналиста, научной литературной или иной творческой деятельности (при соблюдении прав и законных интересов работника);
- предоставление таких данных работнику нарушает права и законные интересы третьих лиц.
Согласие на обработку и распространение персональных данных работника
Одним из условий обработки персональных данных работников является получение работодателем согласия работников на это (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). При этом закон выделяет ряд случаев, когда согласие не является обязательным.
Согласий на обработку персональных данных может быть два
С 1 марта 2021 года в закон введено новое понятие – "Персональные данные, разрешенные для распространения". Речь идет о случаях, когда персональные данные распространяются оператором среди неограниченного круга лиц, например, при их размещении на сайте, в СМИ, других общедоступных ресурсах.
Раньше оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персональных данных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение, ст. 10.1 Закона № 152-ФЗ). Таким образом, для обработки и распространения персональных данных работника нужно получить у него:
- согласие на обработку персональных данных (если персональные данные не планируется распространять среди неограниченного круга лиц);
- согласие на распространение персональных данных (если планируется распространять данные среди неограниченного круга лиц).
Оба вида согласий могут быть получены у работника как по отдельности, так и вместе.
Когда согласие на обработку персональных данных не требуется
Работодатель может осуществлять обработку персональных данных работника без его согласия:
- для осуществления оператором (работодателем) обязанностей, возложенных на него законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Речь идет об обязанности работодателя предоставлять персональные данные работника:
- во внебюджетные фонды (ПФР, ФСС) (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" (далее – Разъяснения);
- в трудовую инспекцию (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений);
- в профсоюзы (ст. 370 ТК РФ, абз. 5 п. 4 Разъяснений);
- в прокуратуру и правоохранительные органы (абз. 7 п. 4 Разъяснений);
- в налоговые органы и военные комиссариаты (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений);
- в Роскомнадзор и его территориальные органы (ч. 4 ст. 20 Закона № 152-ФЗ);
- при реализации международных соглашений (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
- при осуществлении правосудия, исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве (п. 3 ч. 1 ст. 6 Закона № 152-ФЗ);
- для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ).
- для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является работник (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ). Это положение позволяет работодателю не получать согласие работника, с которым заключен трудовой договор. Однако если эти данные передаются третьим лицам, то согласие необходимо (ст. 88 ТК РФ, за исключением случаев, когда такая передача обусловлена требованием закона);
- для защиты жизни, здоровья и иных интересов работника (п. 6 ч. 1 ст. 6 Закона № 152-ФЗ);
- для реализации прав и законных интересов оператора (работодателя) и третьих лиц или для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ);
- для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ);
- в статистических или иных исследовательских целях при условии обезличивания персональных данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).
Ответственность за обработку или распространение персональных данных без согласия работника
Если согласие на обработку или распространение персональных данных обязательно, но оно не было получено, либо не были соблюдены требования к составу сведений, которые должны быть в таком согласии, обработка персональных данных признается незаконной и может стать поводом для привлечения к ответственности на основании ч. 2 ст. 13.11 КоАП РФ в виде штрафа:
- на граждан - от 6 000 до 10 000 рублей;
- на должностных лиц - от 20 000 до 40 000 рублей;
- на организации - от 30 000 до 150 000 рублей.
Согласие на обработку персональных данных без их распространения
С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ).
Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.
Содержание согласия на обработку персональных данных
Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):
- фамилию, имя, отчество субъекта персональных данных;
- адрес субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных;
- номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Оформление согласия на обработку персональных данных
Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:
- при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
- при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
- при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
- и т.д.
Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.
Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.
Согласие на обработку персональных данных, разрешенных для распространения
Законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Ниже рассмотрим порядок оформления и требования к содержанию соглашения на обработку персональных данных, разрешенных для распространения. Такое согласие может быть дано работником наряду с обычным согласием на обработку персональных данных – они действуют независимо друг от друга.
Содержание согласия на обработку персональных данных, разрешенных для распространения
Перечень реквизитов, которые обязательно должны присутствовать в согласии на обработку персональных данных, разрешенных субъектом к распространению, закреплен в приказе Роскомнадзора от 24.02.2021 № 18.
Такое согласие должно содержать:
- фамилию, имя, отчество (при наличии) субъекта персональных данных;
- контактную информацию (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
- сведения об операторе-организации – наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об операторе-физлице – фамилия, имя, отчество (при наличии), место жительства или место пребывания;
- сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, – фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
- цель (цели) обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень установленных условий и запретов (заполняется по желанию субъекта персональных данных);
- условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
- срок действия согласия.
Оформление согласия на обработку персональных данных, разрешенных для распространения
Согласие на обработку персональных данных, разрешенных для распространения, может быть представлено оператору персональных данных (ч. 6 ст. 10.1 Закона № 152-ФЗ):
- непосредственно – то есть на бумаге, с личной подписью субъекта персональных данных;
- в электронном виде – через информационную систему Роскомнадзора. Правила предоставления согласия этим способом, действующие с 1 марта 2022 года, утверждены Роскомнадзором. Чтобы получить согласие этим способом, оператору персданных (работодателю) следует:
- подключить свой сайт к Единой системе идентификации и аутентификации (ЕСИА);
- после подписания субъектом персданных согласия (для этого ему понадобится электронная подпись) получить из Роскомнадзора сведения:
- о факте предоставления согласия;
- о цели обработки персональных данных;
- об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц к персональным данным;
- о категориях и перечне персональных данных, для обработки которых установлены условия и запреты;
- о перечне установленных запретов и условий в отношении персональных данных.
Обращаем ваше внимание, что с 1 июля 2021 года начал работу интернет-сервис Роскомнадзора для операторов персональных данных. С его помощью можно подготовить шаблон согласия на обработку персональных данных, разрешенных для распространения.
Нужно ли согласие работника на предоставление сведений о его зарплате банку или членам его семьи?
В практике встречаются случаи, когда банк обращается к работодателю с просьбой сообщить размер заработной платы сотрудника для принятия решения о выдаче ему кредита. Попросить работодателя сообщить размер зарплаты сотрудника могут также его родственники. Можно ли предоставить такие сведения, если сам работник своего согласия на это не давал?
Рекомендации
Не представлять сведения о заработной плате работника никаким третьим лицам, включая банки и членов его семьи, если работник не давал на это своего согласия. Обосновывается это следующим.
Персональными данными признаются любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" [далее – Закон № 152-ФЗ]).
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных (ст. 7 Закона № 152-ФЗ).
В письме Роскомнадзора от 07.02.2014 № 08КМ-3681 отмечается, что сведения о размере заработной платы относятся к персональным данным работника.
Учитывая эти разъяснения, сообщать размер заработной платы третьим лицам без согласия работника нельзя. Это может повлечь наказание на основании ч. 2 ст. 13.11 КоАП РФ, которая предусматривает ответственность в виде штрафа:
- от 6 000 до 10 000 руб. – на граждан;
- от 20 000 до 40 000 руб. – на должностных лиц и ИП;
- от 30 000 до 150 000 руб. – на организации.
Напоминаем, что под заработной платой подразумевается не только должностной оклад или тарифная ставка работника, но и положенные ему выплаты компенсационного и стимулирующего характера (доплаты, надбавки, премии) (ч. 1 ст. 129 ТК РФ).
Уведомление Роскомнадзора об обработке персональных данных
Если работодатель обрабатывает персональные данные, он должен быть включен в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ). Направить уведомление необходимо до начала обработки персональных данных, однако делать это нужно не всегда.
Когда не нужно уведомлять Роскомнадзор
В ч. 2 ст. 22 Закона № 152-ФЗ закреплен перечень случаев, когда осуществлять обработку персональных данных работников можно без дополнительных уведомлений.
Обрабатывать без уведомления Роскомнадзора можно персональные данные:
- включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона № 152-ФЗ);
- обрабатываемые исключительно без использования средств автоматизации (то есть вручную, без использования компьютера и другой вычислительной техники) (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ);
- обрабатываемые в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 Закона № 152-ФЗ).
Во всех остальных случаях уведомление Роскомнадзора является обязательным. Это касается, в том числе, случаев обработки персональных данных работников и соискателей.
Рассмотрим порядок оформления и подачи уведомления, если его подача необходима
Оформление уведомления
Форма уведомления об обработке (о намерении осуществлять обработку) персональных данных утверждена приказом Минкомсвязи России от 30.05.2017 № 94. (Роскомнадзор разработал новую форму уведомления, однако она еще не утверждена).
Перечень сведений, которые необходимо указать в уведомлении, закреплен в ч. 3 ст. 22 Закона № 152-ФЗ и включает:
- наименование (Ф.И.О.), адрес оператора (работодателя);
- цель обработки персональных данных;
- описание мер, предусмотренных ст. 18.1 и 19 Закона № 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- Ф.И.О. лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дату начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
- Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством России.
Подавая уведомление, оператор для каждой цели обработки персональных данных должен указать в нем также (ч. 3.1 ст. 22 Закона № 152-ФЗ):
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными;
- способы обработки персональных данных.
Подача уведомления
Уведомление можно подать как на бумажном носителе, так и в электронной форме (ч. 3 ст. 22 Закона № 152-ФЗ). Выбрать удобную для себя форму подачи можно самостоятельно.
Составить уведомление в электронной форме можно с помощью портала Роскомнадзора. Заполнив такую форму и отправив ее в Роскомнадзор в электронном виде, необходимо также распечатать ее и направить по почте.
Уведомление полностью в электронной форме можно направить только через портал Госуслуг. В этом случае распечатывать уведомление на бумаге и отправлять в Роскомнадзор не нужно.
Проверка уведомления и внесение в реестр операторов
В течение 30 дней с даты поступления уведомления Роскомнадзор обязан внести указанные в нем сведения в Реестр операторов персональных данных (ч. 4 ст. 22 Закона № 152-ФЗ).
Оператор (работодатель) должен внимательно следить за правильностью сведений, вносимых в уведомления для отправки в Роскомнадзор. В случае обнаружения ошибок этот орган вправе потребовать уточенные сведения (ч. 6 ст. 22 Закона № 152-ФЗ). Такие сведения необходимо представить в Роскомнадзор не позднее 30 дней с даты получения от него соответствующего запроса.
Кроме того, оператор должен своевременно сообщать в Роскомнадзор об изменении или прекращении обработки персональных данных. Например, об изменении срока обработки персональных данных. Сделать это нужно не позднее 10 рабочих дней с даты возникновения таких изменений или даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона № 152-ФЗ).
Положение о персональных данных и иные документы
Согласно требованиям ст. 87 ТК РФ каждый работодатель обязан утвердить порядок хранения и использования персональных данных своих работников. Для этого необходимо утвердить соответствующий документ, например, Положение о персональных данных и их защите (политику).
Положение о персональных данных и их защите
Это локальный нормативный акт, который регламентирует порядок получения, использования и хранения персональных данных сотрудников работодателя (общие положения). Форма Положения о персональных данных законом не утверждена, поэтому его придется составить самостоятельно. Закон не содержит четкого перечня сведений, которые должны содержаться в этом документе, конкретные положения придется определить самостоятельно. Положение является общим документом, определяющим политику организации в области обработки персональных данных. Рекомендуем включить в него разделы, содержащие информацию:
- цель и задачи организации в области обработки и защиты персональных данных;
- понятие и состав персональных данных (Перечень персональных данных может быть отдельным приложением);
- порядок сбора, обработки, использования и передачи персональных данных;
- на каких носителях (электронных, бумажных) и где они хранятся;
- права работника, связанные с защитой его персональных данных;
- обязанности работодателя-оператора персональных данных;
- перечень мер по защите персональных данных работника от неправомерного их использования или утраты;
- ответственность работодателя за несанкционированный доступ и разглашение персональных данных сотрудника;
- перечень лиц, имеющих доступ к персональным данным (это может быть отдельное приложение).
Приведенный перечень сведений является лишь ориентировочным и может быть использован в качестве примера. В Положении о персональных данных рекомендуется максимально подробно прописать все аспекты их получения, хранения и обработки.
Данное Положение следует утвердить приказом руководителя организации или иного уполномоченного работодателем лица (например, заместителя генерального директора, директора по персоналу и т.п.). При наличии в организации представительного органа работников (например, профсоюза) локальные акты должны приниматься с учетом его мнения в порядке ст. 372 ТК РФ.
Помимо Положения о персональных данных у работодателя должны быть:
- Политика обработки персональных данных (ч. 2 ст. 18.1 Закона № 152-ФЗ);
- Приказ о назначении ответственного за организацию обработки персональных данных у работодателя (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона № 152-ФЗ).
Иные документы
Закон не конкретизирует перечень документов, которые следует составить работодателю, обрабатывающему персональные данные сотрудников. Помимо общего Положения о персональных данных рекомендуем составить также следующие документы (они могут быть приложением к нему):
- Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
- Приказы о возложении персональной ответственности за защиту персональных данных;
- Перечень персональных данных, обрабатываемый работодателем, в него включается категория данных, объем и срок хранения, способ обработки (автоматизированный и неавтоматизированный), перечень должностей сотрудников, их обрабатывающих, наличие согласия на обработку;
- Регламент допуска сотрудников к обработке персональных данных;
- Перечень допущенных сотрудников к обработке персональных данных;
- Перечень информационных систем, обрабатывающих персональные данные с указанием места расположения;
- Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.
Ознакомление сотрудников с Положением о персональных данных и другими документами
В соответствии с требованиями п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных, а также с правами и обязанностями в этой области. Поэтому с вышеперечисленными документами следует ознакомить сотрудников под подпись.
При этом закон не устанавливает конкретной формы ознакомления – работодатель вправе сам решить, каким образом фиксировать это в своих документах. Например, распространена практика оформления журнала ознакомления с локальными нормативными актами. Для подтверждения факта ознакомления работник должен поставить подпись в соответствующей графе. Возможны и иные варианты, например, подтверждение в виде отдельного документа, включение соответствующего пункта в трудовой договор и т.д.
Если у работодателя применяется кадровый электронный документооборот (ст. 22.1 – 22.2 ТК РФ), то работников можно ознакомить с локальными нормативными актами в электронной форме.
Публикация информации о порядке обработки персональных данных
Согласно закону операторы персональных данных обязаны опубликовать или иным способом предоставить всем желающим неограниченный доступ к документу, определяющему их политику в отношении обработки персональных данных. Если сбор персональных данных осуществляется через интернет, оператор обязан опубликовать такой документ в интернете (например, на своем сайте) (ч. 2 ст. 18.1 Закона № 152-ФЗ). Закон № 152-ФЗ не конкретизирует, что это за документ. Это может быть и Положение о персональных данных, и любой другой аналогичный документ. Эту информацию можно разместить, например, на информационном стенде, доступном всем желающим, на интернет-сайте и т.д.
Исполнение этих требований может быть проверено Роскомнадзором в любое время. Если от него поступил соответствующий запрос, необходимо представить указанные выше документы, а также (при необходимости) доказательства выполнения требований закона о публикации таких документов (ч. 4 ст. 18.1 Закона № 152-ФЗ).
Как организовать защиту персональных данных
Работодатель обязан сохранять конфиденциальность персональных данных работников. В связи с этим в процессе обработки персональных данных следует уделить особое внимание их учету и защите. В связи с этим закон возлагает на оператора персональных данных (работодателя) следующие обязанности (ч. 1 ст. 18.1 Закона № 152-ФЗ):
- назначение лица, ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику работодателя в отношении обработки персональных данных работников и ознакомление работников с ними;
- внутренний контроль и (или) аудит соответствия обработки персональных данных законам и локальным актам работодателя;
- оценка вреда, который может быть причинен работникам в случае нарушения требований по защите персональных данных;
- организационные и технические меры по защите персональных данных.
Рассмотрим каждую их перечисленных мер более подробно.
Назначение лица, ответственного за организацию обработки персональных данных
Работодатель-организация вправе назначить лицо, ответственное за организацию обработки персональных данных (далее – Ответственное лицо) (п. 1 ч. 1 ст. 18.1 Закона № 152-ФЗ). Индивидуальный предприниматель может выполняет его функции самостоятельно.
В зависимости от объема обязанностей Ответственного лица можно либо ввести отдельную должность, либо возложить эту функцию на кого-либо из действующих сотрудников (например, на условиях совмещения или совместительства). Помимо приказа о назначении Ответственного лица следует оформить документы, определяющие перечень его обязанностей (например, должностную инструкцию).
Порядок работы такого сотрудника определен в ст. 22.1 Закона № 152-ФЗ. Согласно п. 2 этой нормы Ответственное лицо подотчетно исполнительному органу организации-работодателя. Этот же орган вправе давать указания Ответственному лицу.
В обязанности Ответственного лица входит (ч. 4 ст. 22.1 Закона № 152-ФЗ):
- контроль за соблюдением работодателем и работниками требований законодательства об обработке и защите персональных данных;
- доведение до сведения работников положений закона и локальных актов организации о персональных данных;
- организация, прием и обработка обращений и запросов субъектов персональных данных (работников, в т.ч. бывших) или их представителей.
Обратите внимание: для работы Ответственному лицу понадобится подробная информация как о самом операторе персональных данных (работодателе), так и иные сведения (цель обработки персональных данных, даты начала обработки персональных данных, сроки окончания их обработки и т.д.). Полный перечень таких сведений закреплен в ч. 3 ст. 22 Закона № 152-ФЗ. Работодатель, в свою очередь, обязан предоставить эти сведения (ч. 3 ст. 22.1 Закона № 152-ФЗ).
Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законам и локальным нормативным актам
Для качественной и всесторонней защиты обрабатываемых персональных данных недостаточно издать соответствующие локальные акты и указать работникам на необходимость соблюдения закрепленных в них правил, а также законодательства о защите этих данных. Необходим контроль за исполнением требований и соблюдением правил, закрепленных в указанных документах.
Как правило, функции осуществления такого контроля возлагаются на лицо, ответственное за организацию обработки персональных данных. Закон не содержит перечня обязанностей такого лица, позволяющих осуществлять всесторонний контроль за исполнением правил по обработке персональных данных. Тем не менее контроль может осуществляться путем:
- Отслеживания изменений действующего законодательства в сфере защиты персональных данных;
- Проверки соответствия деятельности организации по защите персональных данных требованиям закона и локальных нормативных актов;
- Своевременного приведения локальных нормативных актов организации в соответствие с действующим законодательством о защите персональных данных;
- Оптимизации способов и методов защиты персональных данных;
- И т.д.
В целях организации внутреннего контроля за соблюдением законодательства о персональных данных целесообразно разработать план контрольных и проверочных мероприятий. В этом плане можно закрепить перечень мероприятий внутреннего контроля (например, аттестация сотрудников, работающих с персональными данными, проверка техники, которая используется для обработки персональных данных и т.д.), а также способы, методы, периодичность и другие параметры мероприятий по внутреннему контролю.
Оценка вреда, который может быть причинен работникам при нарушении требований по защите персональных данных
Порядок проведения такой оценки законом не закреплен и осуществляется работодателем по собственному усмотрению. Такую оценку целесообразно проводить в первую очередь, поскольку от ее результата будет зависеть выбор мер, необходимых для качественной защиты персональных данных.
Поскольку объемы, виды и другие характеристики персональных данных могут со временем меняться, оценка возможного вреда может проводиться и с какой-нибудь периодичностью (например, один раз в два года).
Периодичность, порядок проведения, результаты и прочие характеристики оценки вреда персональных данных фиксировать документально не обязательно. Но законом это не запрещено. При необходимости можно осуществлять и такую фиксацию (например, разработав Положение о проведении оценки вреда персональным данным).
Поскольку зачастую нормативные и локальные акты о персональных данных являются сложными документами, одного ознакомления с ними недостаточно. Рекомендуется проводить обучение сотрудников, в ходе которого необходимо разъяснить им все положения законов и локальных актов. По результатам такого обучения может быть осуществлено тестирование/аттестация работников на знание материала.
Применение правовых, организационных и технических мер по защите персональных данных
Как следует из ч. 1 ст. 19 Закона № 152-ФЗ, при обработке персональных данных необходимо принимать необходимые правовые, организационные и технические меры. Они призваны защитить персональные денные от неправомерного доступа, копирования, изменения, блокирования, уничтожения и т.д.
Примерный перечень мер, которые могут быть приняты работодателем для защиты персональных данных работников, приведен в ч. 2 ст. 19 Закона № 152-ФЗ. Причем выбор способов защиты будет зависеть от того, обрабатываются персональные данные в информационных системах или нет. Под информационной системой персональных данных понимают совокупность всех персональных данных, обрабатываемых работодателем, а также технологий и технических средств для их обработки (п. 10 ст. 3 Закона № 152-ФЗ). То есть речь идет об обработке персональных данных автоматизированным способом (с использованием вычислительной техники). Более подробно об этом читайте в статье Какие меры безопасности применяются при обработке персональных данных в информационных системах?
Помимо указанных мер рекомендуется также организовать физическую защиту носителей персональных данных, мест, где они хранятся и т.д. В частности, для этого понадобится оборудовать специальное помещение для хранения персональных данных и ограничить к ним доступ.
Остались вопросы или не нашли интересующую вас информацию?
|