В каких документах содержатся персональные данные
Бухгалтер-эксперт с 10-летним стажем
Актуально на 25 сентября 2019
10 сентября 2019 года прошел первое чтение проект Федерального закона № 729516-7, увеличивающий штрафы за несоблюдение законодательства о персональных данных. Вспомним, какие сведения относятся к персональным.
Что такое персональные данные
Ст. 3 Закона от 27.07.2006 № 152-ФЗ закрепляет понятие персональных данных: это любая информация, которая прямо или косвенно относится к конкретному физическому лицу:
Перечень характеристик человека неограничен. Идентифицировать гражданина способны и многие другие данные. А работодатель вправе рассчитывать только на те из них, которые характеризуют сотрудника как сторону трудового договора.
В каких документах есть персональные данные
В процессе работы кадровая служба копит и хранит сведения о сотруднике, заключенные в следующих документах:
Документы | Какие персональные данные в них содержатся |
Резюме, анкета, автобиография, личный листок по учету кадров | Личные качества, биографические данные |
Копия удостоверения личности | ФИО, дата и место рождения, адрес регистрации, семейное положение, реквизиты самого удостоверения |
Личная карточка № Т-2 | Дополнительно к данным удостоверения личности указывается состав семьи и образование |
Трудовая книжка | Трудовой стаж, места работы |
Копии свидетельств о заключении брака, рождении детей | Сведения о составе семьи |
Документы воинского учета | Отношение работника к воинской обязанности |
Справка о доходах с предыдущего места работы | Уровень заработка на предыдущем месте трудоустройства |
Документы об образовании | Уровень образования |
СНИЛС, ИНН | Индивидуальные номера гражданина в системе пенсионного страхования и для налоговых органов |
Трудовой договор | Должность, заработная плата, место работы |
Приказы по личному составу и их копии | Информация о приеме, переводе, повышении, увольнении |
В качестве персональных выступают и другие данные, не перечисленные в таблице. Например, информация о соискателях для принятия руководством решения о приеме нового сотрудника из нескольких кандидатур.
Работники имеют право на свободный бесплатный доступ к своим персональным данным, в том числе на получение копии любого документа, содержащего такие данные (ст. 89 ТК РФ). Работодатель в течение 3 рабочих дней с момента получения заявления от работника обязан выдать ему заверенные копии необходимых документов (ст. 62 ТК РФ).
Работа с персональными данными
Сбор, обработка и хранение персональных сведений сотрудников организуются по следующему алгоритму:
В ходе обработки персональных сведений обеспечивается их недоступность третьим лицам и своевременная корректировка.
Работодатель не вправе обращаться к предыдущему нанимателю сотрудника с целью узнать, насколько правдива информация, представленная в резюме соискателя (нарушается ст. 7 Закона № 152-ФЗ). Это можно делать лишь с согласия проверяемого лица.
Ответственность за нарушения в сфере персональных данных
Обработка персональных данных без согласия сотрудника (если оно обязательно) влечет ответственность — административный штраф (п. 2 ст. 13.11 КоАП РФ):
- для граждан — от 3 до 5 тыс. рублей;
- для должностных лиц — от 10 до 20 тыс. рублей;
- для организаций — от 15 до 70 тыс. рублей.
Работник, имеющий доступ к персональным сведениям других работников, при разглашении привлекается к следующим видам ответственности (ст. 90 ТК РФ):
Вид ответственности | Содержание правонарушения | Мера ответственности | Основание |
Дисциплинарная | Разглашение охраняемой законом тайны, в том числе по причине разглашения персональных данных другого работника | Увольнение с соблюдением процедуры ст. 193 ТК РФ | Подп. «в» п. 6 ст. 81 ТК РФ |
Материальная | Причинение морального вреда работнику, чьи данные были разглашены | Возмещение ущерба работодателю по п. 2 ст. 238 ТК РФ | П. 7 ст. 243 ТК РФ |
Гражданско-правовая | Причинение имущественного или материального вреда в результате разглашения |
| П. 2 ст. 1099 ГК РФ, ст. 152 ГК РФ |
Административная | Разглашение информации, доступ к которой ограничен (в том числе персональной согласно ст. 2, 3, 5, 6 Закона № 152-ФЗ) | Административный штраф на должностное лицо — от 4 до 5 тысяч рублей | Ст. 13.14 КоАП |
Уголовная | Злоупотребление служебным положением и распространение сведений о частной жизни в публичных выступлениях или СМИ |
| П. 2 ст. 137 УК РФ |
О перспективе роста штрафов за разглашение персональных данных в некоторых случаях читайте в нашей статье.
Подводим итоги
- Персональные данные идентифицируют конкретного человека.
- Работодатель вправе получить только те сведения, которые имеют прямое отношение к трудовому сотрудничеству.
- Порядок получения, использования и хранения персональных данных закрепляется нормативно-правовым актом работодателя.
- Лица, имеющие доступ к персональным сведениям, несут ответственность при их разглашении.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Источник
Персональные данные – ключевые понятия
Работодатель сталкивается с вопросом о персональных данных постоянно.
Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные. Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.
Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.
Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.
Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.
Правовая база
О персональных данных в российском правовом поле информируют:
- Конституция России.
- Трудовой кодекс.
- Федеральный закон «О персональных данных» №152-ФЗ.
- Кодекс об административных правонарушениях.
- Уголовный кодекс.
Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.
Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».
В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.
КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.
Какие данные относятся к персональным
Нормативные акты устанавливают два важных понятия, которые необходимо иметь в виду руководителю и ответственному сотруднику кадровой службы, чтобы не навлечь на себя и на организацию огромные штрафы и судебные иски.
- Избыточность.
- Целеполагание.
То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.
Какие данные являются персональными:
- фамилия, имя, отчество;
- дата, место рождения;
- биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
- адрес прописки или фактического жительства;
- семейное положение, состав семьи;
- биографические данные;
- профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
- сведения о доходах и имуществе;
- номера ИНН и СНИЛС; контакты – телефон, электронная почта;
- информация о воинской обязанности;
- медицинская информация и диагнозы.
Категории персональных данных
Обычно выделяют четыре категории персональных данных, хотя в законах такой классификации нет:
- Общедоступные. ФИО, дата и место рождения, профессия, контакты могут использоваться в открытых источниках. Например, в справочниках и телефонных книгах, если субъект данных дал на это свое согласие.
- Биометрические. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
- Специальные. Раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно или когда он сам открыто опубликовал их, сделав общедоступными.
- Иные. Не вошедшие в эти категории.
Как собирать, систематизировать и хранить персональные данные
Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.
Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.
Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре. Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным. Все упомянутые лица должны подписать обязательство о неразглашении данных.
Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.
Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.
Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:
- обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
- обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
- оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
- однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).
Ответственность за разглашение персональных данных
Велики риски, связанные с неправильным или небезопасным хранением данных. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.
Административная ответственность
До 75 тысяч рублей штрафа работодатель может заплатить за:
- сбор и обработка избыточной информации;
- отсутствие согласия работника на обработку данных;
- доступ третьих лиц к персональным данным сотрудников;
- игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).
Уголовная ответственность
По статье 137 УК РФ:
- Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
- То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.
Совет
Очень важно правильно построить процесс обработки персональных данных, потому что они ценны и составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.
Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.
Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных. Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе. О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора. Почитать программу и записаться на курс можно по ссылке.
Источник
Что такое персональные данные в организации?
Каждая организация обрабатывает огромный массив информации. Не исключение — сведения о физических лицах. За нарушение законодательства о персональных данных организацию могут оштрафовать, подать в суд и причинить иные неприятности.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ (далее 152-ФЗ) исчерпывающего перечня персональных данных не содержит. Компаниям необходимо исходить из того, что это любые сведения, позволяющие опознать физическое лицо. В разъяснениях федеральных органов встречаются различные трактовки определения ПДн. Так, Министерство экономического развития в своем письме от 02.10.2015 N ОГ-Д28-12951 считает, что к персональным данным работника, помимо личных:
- фамилии,
- имени,
- отчества,
- даты и места рождения,
- адреса,
- семейного положения,
относятся сведения об:
- образовании,
- профессии,
- занимаемой должности,
- стаже работы.
Данные о сотрудниках также относятся к ПД
Роскомнадзор в своем письме от 07.02.2014 N 08КМ-3681 указывает, что персональными данными являются сведения о заработной плате.
Сведения, обрабатываемые организацией разделяются на две основные группы:
- персональные данные работников организации;
- персональные данные, попадающие в организацию в связи с ее деятельностью, например, персональные данные клиентов, контрагентов, посетителей сайта организации.
Согласно закону 152-ФЗ: организация, обрабатывающая такие данные самостоятельно или совместно с другими лицами, является — оператором персональных данных. Оператор и иные лица, получившие доступ к ПДн должны обеспечить конфиденциальность данных:
не допустить раскрытия информации и распространения без согласия физического лица — субъекта персональных данных.
Обработка ПД должна осуществляться только после получения согласия работника
Жизненный цикл обработки персональных данных сотрудников в организации
По общему правилу персональные данные обрабатываются с согласия физического лица. (п. 1 ч. 1 ст. 6 152-ФЗ). С момента поступления в организацию каких-либо сведений о физическом лице организация должна предпринять необходимые меры для сохранности и правомерной обработки таких сведений. Согласие на обработку ПДн должно быть конкретным и информированным. Не забывайте прописать в документе:
- цели обработки ПДн,
- способы обработки с указанием действий, совершаемых с ПДн,
- объем обрабатываемых ПДн.
Давая согласие субъект персональных данных обозначает объем и границы обработки сведений для каждого конкретного случая их обработки, а работодатель обязует обрабатывать полученные данные только для целей и в объеме на которые оно получено.
Обязательная письменная форма согласия предусматривается только в случаях, указанных в федеральных законах, например, при обработке специальных категорий персональных данных (ст. 10 закона 152-ФЗ):
- расовая принадлежность,
- политические и религиозные взгляды,
- состояние здоровья.
Если законом не предусмотрена письменная форма согласия, подойдет любая иная форма
- устная,
- включение соответствующего пункта в договор и т.д.
Единственное правило: перед началом обработки убедитесь, что для всех категорий обрабатываемых данных получено необходимое согласие работника.
При трудоустройстве, физическое лицо передает работодателю определенный набор документов, содержащих персональные сведения. Исчерпывающего перечня законодательство не содержит, но наиболее стандартный список указан в форме T2 — «личной карточке работника».
Обработка ПДн работника осуществляется в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов,
- содействия работникам в трудоустройстве,
- получении образования,
- продвижении по службе,
- обеспечения личной безопасности работников,
- контроля количества и качества выполняемой работы,
- обеспечения сохранности имущества.
Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Все документы, регламентирующие обработку персональных данных сотрудников, размещаются для ознакомления работниками в открытом доступе. Из приведенных норм можно вывести следующее правило — разработайте и примите локальный нормативный акт, регулирующий сбор, обработку и хранения персональных данных, а также ознакомьте с ним под роспись всех работников.
Работник вправе отозвать согласие об обработке персональных данных, в соответствии с частью 2 статьи 9 закона 152-ФЗ». Может ли в данном случае он продолжить работать на этого работодателя? Согласно этой же части, оператор вправе продолжить обработку персональных данных без согласия субъекта, при наличии оснований, предусмотренных федеральным законом, в том числе и для исполнения договора, стороной которого является субъект ПДн (пункт 5 части 1 статьи 6 152-ФЗ). Таким договором может быть трудовой договор и работодатель вправе продолжить обрабатывать персональные данные работника, без его согласия в целях и объеме необходимых для исполнения указанного договора.
В силу ст. 88 ТК РФ доступ к персональным данным работников должны иметь только специально уполномоченные лица. При этом указанные лица вправе получать только те сведения, которые необходимы для выполнения конкретных функций. Помимо этого, лица, получающие персональные сведения работника, обязаны соблюдать режим конфиденциальности. Ответственные сотрудники должны быть назначены приказом, а документы, определяющие политику в области обработки персональных данных должны быть доступны для всех сотрудников организации. Например, работодатель планирует установить в офисе видеонаблюдение, для этого работодателю необходимо принять акт, регламентирующий порядок видеонаблюдения и назначить ответственных за сбор таких данных. Важно, чтобы ответственные работники были ознакомлены с правилами обработки и хранения персональных данных, принятыми в организации, а также о режиме конфиденциальности, в отношении персональных данных работников. Создание в организации эффективной политики в области сбора, обработки и хранения персональных данных поможет избежать множества негативных последствий для организации.
У вас есть вопросы по разработке ОРД – пишите в комментариях. Мы с радостью на них ответим.
Особенности обработки и защиты персональных данных соискателей и уволенных сотрудников
Помимо персональных данных своих сотрудников в организацию, как правило, попадают множество персональных данных других лиц, например, соискателей. Обработка ПДн соискателя должна осуществляться с его согласия. Из общего правила есть несколько исключений:
- Интересы потенциальных кандидатов на вакансию представляет кадровое агентство;
- Кандидат на вакансию разместил свое резюме в открытом доступе.
Если соискатель направляет свое резюме по электронной почте или факсу работодателю рекомендуется установить факт направления резюме соискателем лично. Получать согласие необходимо
- в случае направления запросов по прежним местам работы,
- для уточнения или получения дополнительной информации о соискателе.
Если по какой-либо причине соискатель не трудоустраивается, все предоставленные им сведения должны быть уничтожены в течение тридцати дней.
Обработка персональных данных уволенных сотрудников возможна только в определенных законом случаях:
- документы, необходимые для исчисления, удержания и перечисления налогов хранятся в течение 4-х лет;
- базы данных отпусков хранятся пять лет;
- приказы о дисциплинарных взысканиях три года;
- трудовые договоры хранятся семьдесят пять лет, если делопроизводство по ним закончено 1 января 2003 года и пятьдесят лет, если позже;
Как и в случае с претендентами на вакансию, так и с действующими и уволенными работниками важно обрабатывать персональные данные только в том объеме, в каком это необходимо для целей обработки.
Согласие на передачу персональных данных работника третьим лицам
По общему правилу работодатель не вправе сообщать персональные сведения о работнике третьим лицам, без его согласия. Исключениями являются случаи, предусмотренные трудовым законодательством и иными законодательными актами.
- передача персональных данных в ПФР или ФСС России (абз. 15 ч. 2 ст. 22 ТК РФ);
- налоговые органы (ст. 24 НК РФ);
- при получении мотивированного запроса судебного пристава (ст. 64 ФЗ “Об исполнительном производстве”);
- заключении договора с провайдером (ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ “О связи”).
Все случаи передачи персональных данных физического лица без его согласия это как правило императивные предписания законодательных актов. Если нормы, предписывающей обязанность передать какие-либо сведения, содержащие персональные данные, нет, то согласие физического лица на передачу его данных придется получить.
Помимо императивных предписаний о раскрытии сведений, содержащих персональные данные, согласие может не требоваться, когда сведения передаются в целях предупреждения угрозы жизни и здоровью работника. Например, работник не появился на рабочем месте и его местонахождение не известно. Работодатель может направить запрос в медицинские организации и органы внутренних дел с указанием информации о работнике и это не будет нарушением правил хранения персональных данных.
При заключении договора зарплатного проекта с кредитной организацией или на выпуск платежных карт для сотрудников работодатель не вправе передавать кредитной организации персональные данные работников. Работник сам даст согласие банку, либо банк включит пункт об обработке персональных данных в договор, подписываемый сотрудником. Аналогично работодатель должен получить согласие всех работников, если в организации кадровый или бухгалтерский учет поручен сторонней организации. Исходя из правил, предусмотренных трудовым законодательством, а также корреспондирующими с ним положениями закона 152-ФЗ работодателю необходимо спрашивать согласие у работника для каждого конкретного случая передачи персональных данных.
Ответственность за нарушения обработки персональных данных в организации
За нарушение требований обработки персональных данных предусмотрены следующие виды ответственности:
- Дисциплинарная
- Материальная
- Административная
- Уголовная
Дисциплинарная ответственность заключается в том, что сотрудник, имеющий доступ к персональным данным и передавший их, без получения согласия физического лица может быть уволен по инициативе работодателя, как за грубое нарушение работником трудовых обязанностей (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Существенным условием увольнения работника по этому основанию будет раскрытие работником сведений, которые он обязывался не разглашать. (п. 43 Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2). При оспаривании работником увольнения в суде, работодатель должен факт нарушения правил обработки персональных данных сотрудником, уполномоченным на их обработку. Так при рассмотрении дела о восстановлении на работе сотрудника, уволенного за разглашение персональных данных другого сотрудника, суд указал что представление доказательств в порядке ст. 56 ГПК РФ, включающих в себя персональные данные других сотрудников организации, для защиты своих трудовых прав, не свидетельствует о раскрытии работником персональных данных других работников неопределенному кругу лиц в рамках трудового спора. Они лишь свидетельствуют о предоставлении работником доказательств в обоснование своей правовой позиции суду при рассмотрении его исковых требований об оспаривании дисциплинарного взыскания. (Апелляционное определение Московского городского суда от 20.11.2018 по делу N 33-44167/2018)
За нарушение правил обработки персональных данных организацию или должностное лицо могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Составлять протоколы об административном правонарушении уполномочены должностные лица Роскомнадзора, а привлекать к ответственности судьи мировых судов. Срок давности за совершение данного правонарушения составляет три месяца. Должностное лицо, ответственное за обработку персональных данных может быть привлечено к административной ответственности, за не размещение в открытом доступе документа, определяющего политику в отношении персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. (Постановление Тюменского областного суда от 14.11.2017 N 4А-598/2017).
Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена по следующим статьям Уголовного кодекса:
- Нарушение неприкосновенности частной жизни;
- Отказ в предоставлении гражданину информации;
- Неправомерный доступ к компьютерной информации.
Субъектом уголовного преступления может быть только физическое лицо, однако привлечение виновного работника к уголовной ответственности не освобождает от административной ответственности организацию.
Как правило, дело об административном правонарушении возбуждается после проведения уполномоченным органом проверок организации. Инспекторы надзорного органа могут оштрафовать организацию за отсутствие у нее документов, регламентирующих политику в области обработки персональных данных, а также несоответствие таких документов законодательству, осуществление обработки или передачи данных третьим без согласия на то физических лиц субъектов персональных данных.
Если у вас остались вопросы, появились предложения, замечания, наблюдения – не раздумывая, пишите нам в комментариях. Мы с удовольствием решим эту задачу 🙂
Источник