Как организовать обработку персональных данных сотрудников?

210

Вопрос

Насколько соответствует зак-ву такое положение в ТД:Работодатель освобождается от ответственности за ненадлежащее исполнение своих обязанностей, связанное с применением несоответствующих персональных данных Работника, в случае непредставления Работником информации об изменении персональных данных в установленный настоящим Договором срок.В ТД также указано:Работник обязан уведомлять Работодателя о перемене фамилии, имени, отчества, адреса регистрации, адреса фактического места жительства, почтового адреса, замене паспорта, изменении иных персональных данных Работника в письменной форме не позднее трехдневного срока с момента таких изменений.

Ответ

Ответ на вопрос:

Вероятно, Ваш вопрос вызван необходимостью работодателя представлять в составе налоговой отчетности или отчетности в пенсионный фонд (например, справки по форме 2-НДФЛ) достоверные сведения о работнике. Дело в том, что статьей 126.1 НК РФ установлена ответственность налогового агента (организации) за представление документов, содержащих недостоверные сведения. За данное правонарушение предусмотрен штраф в размере 500 рублей за каждый документ. Аналогичная санкция и за некорректную отчетность в Пенсионный фонд.

В этой связи отметим, что работодатель не может переложить ответственность за такое налоговое правонарушение на работника. К ответственности привлекается непосредственно работодатель, и даже, если работник не предоставил работодателю актуальные данные, это не снимает налоговую ответственность с работодателя и не перекладывает ее на работника.

Поэтому, работодатель не может освободить себя от подобной ответственности за представление недостоверных данных, даже, если правонарушение фактически возникло по вине работника.

В такой ситуации формулировка трудового договора об обязании работника уведомлять работодателя о перемене фамилии или иных данных работника будет целесообразна и правомерна: «При изменении персональных данных работник обязан предоставить подтверждающие изменения документы в срок ________________».


Вы узнаете больше об ответственности за нарушение закона о персональных данных, если перейдете в материал.


В случае неисполнения данных обязанностей работодатель может применить к работнику дисциплинарное взыскание, с соблюдением правил, предусмотренных ст.193 ТК РФ.

Подробности в материалах Системы Кадры:

Ситуация: Как организовать обработку персональных данных сотрудников

Понятие персданных

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и статье 10 Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие на обработку персданных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Обработка данных без согласия

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Об этом сказано в статье 6 Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗЗаконом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012 г.


Подробнее о уничтожении персональных данных мы написали в материале по ссылке.


Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Уведомление Роскомнадзора

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • сделанных сотрудниками общедоступными;
  • полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
  • относящихся к членам (участникам) общественного объединения или религиозной организации;
  • включающих в себя только фамилии, имена и отчества сотрудников;
  • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме (ч. 7 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Вопрос из практики: что следует понимать под обработкой персональных данных сотрудника

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 887 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 47 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Проверки соблюдения требований к обработке персональных данных

Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).

Предметом контроля деятельности работодателя по обработке персональных данных являются:

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;
  • информационные системы персональных данных;
  • деятельность по их обработке.

Такие правила установлены пунктами 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Роскомнадзор осуществляет как плановые, так и внеплановые проверки в форме документарных или выездных (ст. 9–12 Закона от 26 декабря 2008 г. № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проведении проверок определен, соответственно, пунктами 6 и 7 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Сроки проверки деятельности работодателя по обработке персональных данных при проведении как плановой, так и внеплановой проверки не могут превышать 20 рабочих дней. При этом для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:

  • 50 часов – для малого предприятия;
  • 15 часов – для микропредприятия.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:

  • сложных и длительных исследований, испытаний;
  • специальных экспертиз и расследований.

Такие правила установлены статьей 13 Закона от 26 декабря 2008 г. № 294-ФЗ.

Руководитель или иное уполномоченное лицо проверяемой организации (индивидуального предпринимателя) обязаны предоставить должностным лицам Роскомнадзора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, если таковой не предшествовала документарная. Кроме этого, необходимо обеспечить доступ проверяющих должностных лиц на территорию организации, в используемые при осуществлении обработки персональных данных здания, строения, сооружения, помещения, а также обеспечить их доступ к используемому оборудованию. Такой порядок установлен пунктами 670.5 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

По результатам проверки соблюдения законодательства об обработке персональных данных составляется акт, форма которого утверждена приказом Минэкономразвития России от 30 апреля 2009 г. № 141. При выявлении нарушений дополнительно составляется предписание об их устранении. Такие правила установлены пунктами 767785 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Если организация не согласна с выводами должностных лиц Роскомнадзора, а также с их действиями в ходе проверки, то она может обжаловать данные выводы или действия (п. 4 ст. 21 Закона от 26 декабря 2008 г. № 294-ФЗ).

Ответственность за нарушения в работе с персданными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФч. 1 ст. 24 Закона от 27 июля 2006 г. № 152-ФЗ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Об этом говорится в статье 137 Уголовного кодекса РФ.

Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27 июля 2006 г. № 152-ФЗ. Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК РФ).

Нина Ковязина,

заместитель директора департамента медицинского образования

и кадровой политики в здравоохранении Минздрава России

Кадровая справочная система

Петиция от всех кадровиков России

В Трудовом кодексе есть досадные пробелы, которые усложняют работу кадровикам, хотя ничего не стоит их устранить.

Анонсы будущих номеров
    Подробнее о журнале


    Ваша персональная подборка

      Школа

      Самое выгодное предложение

      Проверь свои знания и приобрети новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...









      © 2011–2017 ООО «Актион кадры и право»

      Журнал «Кадровое дело» –
      практический журнал по кадровой работе

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Кадровое дело». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи,
      информационных технологий и массовых коммуникаций (Роскомнадзор)
      Свидетельство о регистрации ПИ № ФС77-62263 от 03.07.2015

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      ×

      Чтобы скачать этот и другие экспертные материалы сайта, оформите ознакомительный доступ.

      Не беспокойтесь, это займет меньше минуты.

      Получить доступ

      Простите, что прерываем ваше чтение

      Чтобы обеспечить качество материалов и защитить авторские права редакции, многие статьи на нашем сайте находятся в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего 2 минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      2 минуты, и вы продолжите читать
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль