Главная - Другое - Проверка персональных данных сотрудников

Проверка персональных данных сотрудников


Персональные данные сотрудника: как с ними работать


Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

20 августа 2021 Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами.

Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия. Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ () и (далее — Закон о персональных данных). В ст. 24 Конституции РФ говорится, что

«сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»

.

Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена . Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.

Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия?

Можно ли размещать фотографию работника на доске почета без его согласия?

Допускается ли размещение «черных списков» сотрудников на сайте компании?

Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы.

Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов.

Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы. Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них.

Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  1. если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  2. при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Можно воспользоваться . Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем.

Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте. Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты.

Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу. А во-вторых, она должна соответствовать требованиям .

Это значит, что:

  1. в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  2. в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
  3. анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  4. в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет. На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя. Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно , запрашиваются:

  1. трудовая книжка;
  2. паспорт или иной документ, удостоверяющий личность;
  3. документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  4. при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется.

Когда он подписывает трудовой договор, то тем самым уже дает свое согласие. Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие?

Да, нужно. При этом важно, чтобы:

  1. была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
  2. перечень персональных данных строго соответствовал тому, что передается в банк;
  1. договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  2. у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  3. соответствующая форма и система оплаты труда прописана в коллективном договоре ().

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке. В прошлом году была установлена ответственность за «зарплатное рабство».

Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. В этом случае нужно обязательно внести изменения в трудовой договор.

Главное — сделать это правильно. Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора.

Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей. Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных.

Об этом, в частности, предупреждает Минтруд в . В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам.

Делать это без согласия работника нельзя.

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  • Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  • Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно .
  • Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости. Обычно на доске почета размещается фотография человека, указывается его ФИО.

И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием. В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  1. если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со .
  2. компания самостоятельно осуществляет пропускной режим;

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные . Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета. Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога ().
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога ().

И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется. Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет.

Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется. Подписаться × Е Евгения Спасибо, все коротко и понятно. 1 Ответить Загрузить ещё

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Содержание ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования .

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации. Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь.

Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится.

Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  1. дата рождения;
  2. место работы;
  3. рост;
  4. вес;
  5. вероисповедание;
  6. место рождения;
  7. электронный адрес;
  8. должность;
  9. фамилию, имя, отчество;
  10. номер телефона;
  11. адрес проживания;
  12. и т.д.
  13. национальность;

Как должен защищать персональные данные отдел кадров Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ. Итак, кадровым сотрудникам следует:

  • Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  • Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  • Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).
  • Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются. Если компания имеет дело лишь с персональными данными:

  1. и иными физическими лицами.
  2. сотрудников, работающих по трудовым договорам;
  3. работающих по договорам ГПХ;

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится.

В таком случае Закон № 152-ФЗ обязывает компанию:

  • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
  • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
  • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
  • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
  • уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  • Документ о классификации информационных систем;
  • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
  • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
  • Документ, устанавливающий порядок обработки персональных данных работников.
  • Документ, определяющий политику оператора в отношении обработки персональных данных;
  • Приказ о назначении ответственного за организацию обработки персональных данных;
  • подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.
  • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  • Согласиями на передачу персональных данных провайдеру – от каждого сотрудника
  • Письменным поручением на обработку персональных данных.

    Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.
Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  1. По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: .

  1. Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.
  2. Ознакомит со своей Политикой в отношении персональных данных клиентов.

Важно! Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице: За что могут штрафовать Сумма штрафа Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ. от 30 000 до 50 000 руб. Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется) от 15 000 до 75 000 руб.

Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.) от 15 000 до 30 000 руб. Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных) Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д.

В течение 30 дней компания ААА должна дать официальный ответ.

Если такого ответа не последовало, то это нарушение.

от 20 000 до 45 000 руб. Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д. от 25 000 до 50 000 руб. Что говорят суды о плохо защищенных персональных данных

  1. Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).
  2. В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения: Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные.

Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ). Пример защиты персональных данных. Необходимо разработать порядок работы с персональной информацией.

В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных. Штраф: для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб.

(ст. 5.27 КоАП РФ). Пример защиты персональных данных.

Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения. Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации.

Если компания этого не сделает, то нарушит правила работы с персональными данными. Штраф: для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ). Пример защиты персональных данных.

Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу. Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании.

Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф: для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ). Пример защиты персональных данных. Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.

(ч. 1 ст. 13.11 КоАП РФ). Пример защиты персональных данных. Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений. *** В частности, компания 1C-WiseAdvice:

  1. добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
  2. соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
  3. оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.
  4. включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов — подробнее о .

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Хотите читать советы налоговых экспертов и главных бухгалтеров? Подпишитесь на обновления блога Подписаться Поделиться статьей Наши лучшие статьи

  1. 24 июня 2021
  2. 10 июня 2021
  3. 13 февраля 2021
  4. 08 октября 2021

Заказ обратного звонка Ваше имя Ваш телефон Удобное время звонка Через 30 минут В течение дня Утром с 9 до 12 Днем с 12 до 15 Вечером с 15 до 19 Что вас интересует?

Бухгалтерское обслуживание Оптимизация налогов Расчет зарплаты и кадры Восстановление учета Нулевая отчетность Другое Нажимая на кнопку «Заказать звонок», вы даете согласие на Наверх © 2004—2021, ООО «1С-ВайзЭдвайс» Другие компании группы Wiseadvice Наш офис в Москве: Рязанский проспект, д.75, корп.4 ИНН: 7721641003 КПП: 772101001 © 2004—2021, ООО «1С-ВайзЭдвайс» false

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников.

Тогда к штрафу добавится обязанность компенсировать моральный вред. Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как. Основная информация о персональных данных: Глава 14 Трудового кодекса РФ Закон № 152-ФЗ О персональных данных Положение об особенностях обработки персональных данных без средств автоматизации Каждый человек сам решает, что и кому сообщать о себе.
Рассказываем как. Основная информация о персональных данных: Глава 14 Трудового кодекса РФ Закон № 152-ФЗ О персональных данных Положение об особенностях обработки персональных данных без средств автоматизации Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ. Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников.

Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд.

Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране. Бизнесу без наёмного персонала в этом плане меньше хлопот.

За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо. Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.

3 Закона № 152-ФЗ. Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира: Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск. Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в . Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила. Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Эльба — бухгалтерия, с которой справится любой.

Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность. Год на «Премиуме» для ИП младше 3 месяцев За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности. Работу с персональными данными контролируют Роскомнадзор и прокуратура.

С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта. Компания использовала копии документов людей как черновики.

Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018. Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения.

По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут.

Работник отсудил 25 000 ₽ — дело № 33-4172/13.

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ. В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость. Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов.

Посмотрите нашу статью про . Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили: � Персональные данные работника обрабатывают только с его письменного согласия.

� Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи.

Но есть исключения, связанные с угрозой жизни и здоровью.

Например, врачам скорой помощи можно сказать про аллергию.

� Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ. О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя.

Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции. � Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

� Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными.

Хранить документы в надёжном месте — одна из главных его обязанностей. � Данные о работнике должны быть точными и свежими.

Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ. � Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ. � В фирме назначают ответственного за персональные данные.

Этого специалиста знакомят с правилами работы из закона. Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников. Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника.

Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные. Так нужно в силу ст. 22.1 Закона № 152-ФЗ. Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов.

Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя. 3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это. 4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения. Для хранения подойдёт сейф или ящик на замке.

К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ. 5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают.

Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий. 6. Если нужно, уведомляйте Роскомнадзор. По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст.

22 Закона № 152-ФЗ. Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных.

Надо уведомлять Роскомнадзор. А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — .

Сделали все документы? Пройдите на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников.

Так вы не нарушите закон.

За что штрафует Роскомнадзор: анкеты и резюме соискателей, визитки и билеты в командировки

На практике инспекторы могут оштрафовать за нарушения по защите персональных данных по совершенно абсурдным основаниям. Чего ждать от проверки Роскомнадзора, рассказывает кадровый эксперт.

В связи с внесением изменений в КоАП с 1 июля 2017 года и ужесточением ответственности за нарушения законодательства в области персональных данных, для работодателя все более актуальным становится вопрос о том, как правильно работать с персональными данными. Если проверки Государственной инспекции труда проходили многие работодатели, то о проверках Роскомнадзора знают пока не все. Информацию о том, придет ли на предприятие плановая проверка Роскомнадзора можно найти .

Так как же подготовиться и пройти такую проверку без штрафов?

Для начала нужно разобраться: необходимо ли компании регистрироваться в реестре Роскомнадзора? В соответствии с законодательством оператором персональных данных признается, в том числе, юридическое лицо осуществляющее обработку персональных данных.

Согласно закону «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Одним из исключений является обработка персональных в соответствии с трудовым законодательством.

Но это исключение не распространяется на персональные данные уволенных сотрудников, на членов семей сотрудников и их детей. То есть на практике получается так, что уведомление подавать в любом случае нужно.

Другое дело, что штраф за неподачу данных предусмотрен небольшой — пять тысяч рублей. Каковы же основные зоны риска в компании при работе с персональными данными?

Это прежде всего, кадровое делопроизводство, хранение личных дел сотрудников, ведение зарплатного проекта и оформление командировок, заказ визитных карточек в компании, оформление прохождения медицинских осмотров сотрудников, которым в соответствии с ТК РФ необходимо проходить такие осмотры, а также порядок осуществления пропускного режима на территорию служебных помещений работодателя. В отделе персонала проверяющих заинтересует наличие договоров с работными сайтами, приказ о назначении ответственного за обработку персональных данных в компании, а также локально-нормативные акты, регулирующие в компании работу с персональными данными.

Особое внимание инспекторы Роскомнадзора обратят на содержание письменного согласия на обработку персональных данных.

Оно должно быть оформлено в соответствии со ст. 9 п. 4 закона «О персональных данных».«Конек» проверяющих — проверка содержания анкеты соискателя на наличие избыточных персональных данных.

В соответствии с законодательством информация в анкете о родственниках соискателя должна соответствовать объему, предусмотренном пунктом 10 унифицированной , утвержденной постановлением Госкомстата Российской Федерации. То есть работодателю о родственниках соискателя (работника) положено знать только степень их родства, фамилию, имя, отчество и год рождения ближайших родственников.

Любая другая информация, как например, число и месяц рождения или место работы родственника, будет признана избыточной и за это компанию оштрафуют.

Теоретически здесь требования Роскомнадзора вступают в противоречие со ст.228 ТК РФ, ведь Трудовой кодекс обязывает работодателя при наступлении тяжелого несчастного случая или несчастного случая со смертельным исходом информировать родственников пострадавшего.

А как это сделать, если нет никакой другой информации в анкете — не понятно.

Проверяющие эту ситуацию никак не комментируют.Про хранение личных дел сотрудников все ясно — они должны находиться в закрытых стеллажах под замком. А вот как правильно с точки зрения Роскомнадзора работать с резюме кандидатов?

Во-первых, обработка персональных данных соискателей предполагает получение согласия самих соискателей на обработку их персональных данных.

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц. Согласно требованиям Роскомнадзора при получении резюме кандидата по электронной почте — необходима обратная связь с ним для подтверждения факта отправки указанного резюме самим кандидатом. К таким мероприятиям можно отнести приглашение соискателя на личную встречу с сотрудниками работодателя, обратную связь посредством электронной почты и т.п.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, направившее его, не представляется возможным, данное резюме подлежит уничтожению в день поступления с составлением акта об уничтожении.

То же необходимо сделать и в случае отказа кандидату в приеме на работу — резюме должно быть уничтожено в течение 30 дней.

Поэтому резюме проще вообще не распечатывать. При направлении работодателем запросов по прежним местам работы, для уточнения или получения дополнительной информации о соискателе получение его согласия также является обязательным условием.

В случае ведения кадрового резерва в компании обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться также только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения. Поэтому соискатель обязательно должен быть ознакомлен с условиями ведения кадрового резерва: со сроками хранения его персональных данных и порядком исключения из кадрового резерва. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя на сайте Компании.

Сайт Компании также представляет интерес для сотрудников Роскомнадзора. В случае использования окна обратной связи с клиентами или кандидатами, политика или положение об обработке персональных данных должны быть размещены на сайте, а согласие на обработку персональных данных обязательно должно подтверждаться соискателем или клиентом, путем проставления отметки — «галочки» в соответствующем поле.

В ходе проверки проверяющие обязательно поинтересуются, ездят ли сотрудники в командировки, проходят ли медосмотры и заказываются ли им визитные карточки. Если да, то еще одним подводным камнем для работодателя является сохранение конфиденциальности при передаче персональных данных третьим лицам и согласие самих сотрудников на такую передачу для изготовления, например, визитных карточек или заказа авиа- и железнодорожных билетов через агентства, направления на обязательный медицинский осмотр. Для этого должны быть заключены договоры о конфиденциальности с соответствующими подрядчиками.

В таких договорах проверяющих интересует перечень действий, совершаемых с персональными данными, цели обработки и обеспечение безопасности данных.

По итогам проверки будет составлен акт и в случае выявленных нарушений вынесено предписание об устранении нарушений. Что касается штрафов, конкретные их размеры указаны в статье 13.11 КоАП.

Размеры штрафов от 15 до 70 тысяч рублей в зависимости от вида нарушения.

Чтобы минимизировать риски, работодателю перед проверкой необходимо провести инструктаж ответственных лиц, какие пояснения давать инспектору. Как показывает практика, к проверке Роскомнадзора подготовится сложнее, чем к проверке ГИТ, потому что требования Роскомнадзора не столь широко известны работодателям, как требования трудового законодательства.

К тому же бывает, что решения инспекторов, на первый взгляд, кажутся парадоксальными.

Есть прецеденты, когда компанию штрафовали, например, за то, что у бухгалтера по зарплате в согласии на обработку персональных данных, отсутствует согласие на передачу персональных данных компаниям, у которых заказываются визитки, авиабилеты, и где проходят медосмотры сотрудники, которым положено их проходить в соответствии с законодательством. Объяснения представителей компании о том, что бухгалтер по зарплате не ездит в командировки, ему не положены визитные карточки и он не обязан проходить медосмотры — успеха не имели.

В таких случаях нужно пытаться отстоять свою позицию в суде, хотя судебной практики по нарушениям в области персональных данных еще очень мало.