Работаем с персональными данными правильно: ответы на самые актуальные вопросы

О персональных данных работников участника закупки

Можно ли сообщать персональные данные близким родственникам работника?

Нужно или не нужно согласие работника на передачу его ПД, например сведений о зарплате, его близким родственникам – законодательно не определено.

В Разъяснениях Роскомнадзора говорится только о том, нужно ли работодателю запрашивать согласие у самих родственников в необходимых случаях. В частности, поясняется, что допускается обработка персональных данных близких родственников работника без их согласия:

  • в объеме, предусмотренном личной карточкой по унифицированной форме Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

  • в случаях, установленных законодательством РФ, – получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат.

В иных случаях получение согласия близких родственников работника обязательно.

Однако бывают обстоятельства, когда родственникам приходится запрашивать персональные данные работника. Например, в случае его смерти. В части 7 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) в отношении этой ситуации лишь установлено, что в случае смерти субъекта персональных данных (работника) согласие на обработку его ПД дают в письменной форме его наследники, если такое согласие не было дано субъектом ПД при жизни.

Поскольку законом установлена ответственность за нарушение порядка работы с персональными данными, а умерший на передачу уже не может согласиться, при обращении родственника с просьбой предоставить ПД умершего сотруднику кадровой службы надо запросить у родственника письменное заявление с указанием цели такого запроса. И если данные нужны, например, для получения наследства, пенсий или социальных гарантий, сведения следует предоставить. Вместе с заявлением с родственника надо запросить документ, подтверждающий родство (свидетельство о рождении, о браке и др.).

Описанная ситуация, конечно, не единственная. Запросить документы, содержащие персональные данные, родственники могут и при жизни работника

И здесь следует отнесись к передаче сведений с осторожностью и большой ответственностью, поскольку работник может обратиться в суд с требованием о возмещении работодателем морального вреда.

Так произошло, когда сотрудник отдела кадров выдал справку 2-НДФЛ бывшей гражданской жене работника Ш. без его разрешения. Эта справка понадобилась ей для представления в суд для взыскания с Ш. алиментов на их общего ребенка. И поскольку они работали в одной организации, женщина обратилась за справкой и получила ее.

Первая инстанция не усмотрела нарушения прав Ш., но апелляционная и кассационная инстанции пришли к следующему выводу: справка о доходах физического лица по форме 2-НДФЛ представляет собой документ, содержащий персональные данные физического лица (сведения о его доходах и налогах, паспортные данные), и могла быть выдана работодателем только по заявлению этого лица или с его согласия. Однако работодателем суду не были представлены доказательства обращения работника с заявлением о выдаче ему либо третьему лицу справки 2-НДФЛ. В связи с этим иск был удовлетворен. Правда, вместо 300 000 руб., которые требовал работник, суд взыскал с работодателя только 3 000 руб. (Определение Первого кассационного суда общей юрисдикции от 28.03.2022 по делу № 88-6426/2022).

Возможно, если бы брак был официальным, судьи приняли бы другое решение. В частности, в отношении передачи паспортных данных. Но в этом конкретном случае то обстоятельство, являлась ли женщина официальной или гражданской женой, судьями не учитывалось. Иск удовлетворили в соответствии с нормами законодательства о персональных данных.

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

1. Общие ПД

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

  • вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
  • обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
  • обработка в целях страхования;
  • обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Положение о персональных данных работников 2022: образец с приложениями

Обязательным документом для каждой компании является положение о персональных данных, в котором устанавливаются правила обращения со сведениями о работниках.

Что такое положение о персональных данных работников?

Работа с персональными данными работников регулируется внутренним документом организации – соответствующим Положением. Обязательность его наличия обусловлено требованием ст. 87 ТК .

Все действия, связанные с получением, обработкой, изменением и т.д. данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон).

Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:

  • фамилия, имя и отчество;
  • информация о рождении: место и дата;
  • данные паспорта;
  • ИНН;
  • СНИЛС;
  • адрес по прописке и фактического проживания;
  • сведения об образовании;
  • информация о стаже работы.

Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.

Для чего необходимо положение о персональных данных работников?

Согласно положений Закона № 152-ФЗ, работодатель при приеме граждан на работу становится оператором обработки их личных данных. Это значит, что он берет на себя ответственность по сбору, хранению, обработке и иных действий в отношении получаемых сведений и вправе осуществлять их при помощи средств автоматизации или без них.

Работодатель обязан хранить личные дела своих сотрудников в соответствии со ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и затем передавать их на хранение в архив. Чтобы не допустить утечку персональных данных, должен быть применен комплексный подход к этой работе. Для чего необходимо составить и утвердить соответствующее Положение.

Структура положения

Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:

Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.

  1. Основные понятия и состав персональных данных.

Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:

  • документы, на основании которых оформляется трудовой контракт;
  • трудовые книжки;
  • личные дела работников;
  • отчетность налоговая, статистическая и т.д.;
  • приказы по организации и их копии.
  1. Обработка персональных данных.

Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.

  1. Передача персональных данных.

Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).

  1. Доступ к персональным данным.

Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.

  1. Ответственность за нарушение норм в отношении обработки и защиты персональных данных.

Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.

Положение о персональных данных вводится в действие на основании приказа руководителя.

Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:

  • личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
  • личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.

При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.

Скачать образец положения о персональных данных работников 2022 года

Получение Согласия на предоставление персональных данных

Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним. Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц. Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.

Основные различия поручения и передачи без поручения

Поручение Передача без поручения
Признаки Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима
Примеры Услуги бухгалтерского и кадрового учёта
Услуги бронирования и организации командирования работников
Техническое обеспечение ИСПДн оператора
Сопровождение интернет-ресурсов оператора
Услуги рекламной и информационной рассылки
Организация медицинских осмотров ДМС
Выпуск банковских карт и начисление выплат
Услуги по перевозке пассажиров (такси)
Требования к оформлению договора Обязательное соответствие ч. 3 ст. 6 152-ФЗ Может не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ
Кто оформляет Согласие (если отсутствуют иные правовые основания) Оператор
Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ)
Оператор
Кто несёт ответственность в случае нарушения прав субъекта ПДн Оператор – перед субъектом ПДн
Лицо по поручению – перед оператором
Оператор и лицо по поручению – в случае поручения иностранному лицу
Оператор – за правомерность передачи
Третье лицо – за фактическую обработку

При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:

  • Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации.

Как определить, нужно ли получить согласие на обработку персональных данных в конкретном случае, читайте в нашей статье.

Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.

Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учётом:

  • данные отношения, с точки зрения 152-ФЗ, образуют поручение на обработку персональных данных;
  • передача данных для ведения кадрового и бухгалтерского учёта аутсорсеру – инициатива работодателя, поэтому оценка правовых оснований такой передачи с учётом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора и т. д.);
  • поскольку речь идёт о передаче данных работников, то необходимо руководствоваться ст. 88 ТК РФ, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.

Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учёта, работодатель должен получить письменное Согласие сотрудников на передачу этих данных. Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента

Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст

6 152-ФЗ.

Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.

Вопросы из практики

Ситуация

Нужно ли РКЦ получать отдельное согласие на обработку персональных данных, если его получили УО, ТСЖ, ЖСК

Нет, не нужно.

Управляющая МКД организация вправе поручить обработку персональных данных РКЦ лишь с согласия субъекта персональных данных — потребителя ЖКУ. Это правило предусматривает статьи 6 Закона № 152-ФЗ. При этом РКЦ не должен получать согласие собственников помещений в МКД на обработку персональных данных ().

Ситуация

Должна ли УО предоставлять документы ОСС по запросу собственника, если он не согласен с принятыми решениями

Нет, не должна.

Управляющая МКД организация обязана не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом ().

Собственники помещений вправе обратиться в орган ГЖН с заявлением о предоставлении заверенных копий решений и протоколов ОСС. По мнению Минстроя подобное предоставление информации не будет считаться распространением персональных данных по смыслу «О персональных данных». Это следует из .

При этом УО обязана разместить в ГИС ЖКХ протокол собрания и решения собственников. Данная обязанность предусмотрена  статьи 46 ЖК. Решения (бюллетени) собственников помещений в МКД, списки присутствующих и приглашенных — обязательные приложения к протоколу ОСС. Это предусмотрено Приказа № 44/пр.

Если предусмотренная законодательством информация требуемая заявителем раскрыта УО в необходимом объеме, УО вправе, не предоставляя запрашиваемую информацию, сообщить собственнику место размещения запрашиваемой информации в сети интернет, не позднее дня, следующего за днем поступления запроса. Это предусмотрено пункта 34 Правил №416.

Ситуация

Кто несет ответственность за персональные данные, если УО, ТСЖ, ЖСК поручили обработку третьему лицу

Перед собственниками помещений в МКД ответственность будет нести управляющая МКД организация.

Если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия третьего лица несет оператор. Лицо, которое обрабатывает персональные данные по поручению оператора, несет ответственность перед оператором. Ответственность лиц устанавливает  статьи 6 Закона № 152-ФЗ.

Ситуация

Нужно ли предоставлять по запросу ГЖИ информацию с персональными данными собственников

Да, нужно, если запрошенные документы необходимы ГЖИ для проверки.

Законодательство допускает обработку персональных данных без согласия субъекта, если обработка необходима, чтобы исполнить в том числе полномочия исполнительных органов государственной власти субъектов и органов МСУ. Такую возможность предусматривает части 1 статьи 6 Закона № 152-ФЗ

Ситуация

Есть ли срок действия у согласия собственника помещения в МКД на обработку персональных данных

Нет, не имеет.

«О персональных данных» (далее — Закон № 152-ФЗ) не содержит требований к сроку действия на их обработку.

В случае оформления письменного согласия собственника помещения в МКД на обработку его персональных данных в РКЦ срок действия такого согласия должен быть указан в тексте ().

Вместе с тем, в соответствии с статьи 9 Закона 152-ФЗ согласие на обработку персональных данных может быть отозвано. Если собственник помещения в МКД как субъект персональных данных отзывает согласие на их обработку, вы как оператор вправе продолжить обработку персональных данных без согласия. Это связано с тем, что обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных ().

Ситуация

Нужно ли получать согласие на обработку персональных данных, чтобы разместить протокол и решения в ГИС ЖКХ

Нет, не нужно.

Обязанность размещать протокол ОСС и приложения к нему, установлены ст. 161 ЖК, приказа Минкомсвязи России № 74, Минстроя России № 114/пр (далее – Приказ №74/114).

Поскольку указанная обязанность УО предусмотрена законодательством, письменное согласие на их размещение в ГИС ЖКХ собственников помещений в МКД, как субъектов персональных данных, не требуется (, ч. 1 ст. 6 Закона о персональных данных).

Ситуация

Нужно ли ТСЖ оформлять согласие от собственников на обработку персональных данных для юриста по доверенности

Да, нужно.

Так как юрист обрабатывает персональные данные собственников помещений по поручению (договору) ТСЖ, то товариществу необходимо получить  на поручение обработки персональных данных третьим лицам ( ст. 6, Закона № 152-ФЗ). При наличии  ТСЖ юристу получать согласие от собственников помещений не требуется ().

Материал из Справочной системы «Управление многоквартирным домом» https://vip.1umd.ru Дата копирования: 25.05.2023

Персональные данные — что к ним относится

Положения нормативных актов к персональным данным относят следующую информацию о работнике:

  • Указанные полностью Ф.И.О.
  • Сведение о том, где и когда родился сотрудник компании.
  • Адрес, по которому он фактически проживает, а также тот, который указан в паспорте или ином подобном документе.
  • Номер контактного телефона, электронной почты.
  • Положение работника в семье, в обществе.
  • Внешние данные работающего на предприятии, его пол.
  • Наличие у сотрудника имущества.
  • Имеющееся у работника образование, полученная им профессия, квалификация или специализация.
  • Сведения об имеющихся у сотрудника доходов.
  • Состояние здоровья сотрудника.
  • И другая информация, признаваемая персональной в соответствии с законами или внутренними нормативными актами предприятия.

Перечень информации, признаваемой персональной является открытым, его можно дополнять.

Внимание! Существует информация, которая никогда не должна запрашиваться у работника, даже если он дает на нее согласие, так как она входит в его личную жизнь. Примером таким данных могут выступать сведения о национальности или вероисповедании сотрудника.

Что относится к Вашим персональным данным?

Согласно Федеральному Закону №152-ФЗ «О персональных данных» (далее 152-ФЗ) к персональным данным может быть отнесена любая информация, прямо или косвенно определяющая человека (субъекта персональных данных).

Персональные данные – это очень широкое понятие. 152-ФЗ, судебная практика, Роскомнадзор и другие ведомства признает разный перечень персональных данных. Например, все признают, что ФИО, паспортные данные относятся к персональным данным. А вот по номеру телефона возникают споры: Роскомнадзор считает, что не относится, поскольку можно изменить номер, купив новую симку. А суды и вынесенные ими решения говорят об обратном – в современном мире номер телефона тесно связан с субъектом персональных данных и в определенный момент времени по одному номеру телефона можно определить физическое лицо (прямо или косвенно).

Чтобы понять персональные данные это или просто информация, необходимо ответить на вопросы:

«Идентифицирует ли данная информация субъекта персональных данных?»

«Можно ли на основании данной информации выделить человека из группы людей?»

Нужно понимать, что не обязательно идентифицировать субъекта полностью, т.е. знать его ФИО, должность и место работы. Достаточно выделить его по характерным признакам из общности.

На основе практического опыта приведу перечень данных, которые относятся к персональным данным:

Персональные данные

Примечание

Фамилия, имя, отчество

Признается всеми

Фотографическое изображение

Признается всеми

Дата, место рождения

Признается всеми

Пол

Признается всеми

Сведения, содержащиеся в документах, удостоверяющих личность

Признается всеми

Адрес фактического проживания

Признается всеми

Адрес электронной почты

Признается всеми

Нужно понимать, что адрес может быть любой! Содержащий явное указание ФИО и места работы или просто [email protected]

Номер телефона

Не признается Роскомнадзором, но признается Минкомсвязи России и судебной практикой

Идентификационный номер налогоплательщика

Не признается Министерством финансов, но признается Роскомнадзором

Номер страхового свидетельства обязательного пенсионного страхования

Признается всеми

Сведения, содержащиеся в документах воинского учета

Признается всеми

Сведения, содержащиеся в документах об образовании, квалификации

Признается всеми

Место работы

Признается всеми

Сведения о занимаемой должности

Признается всеми

Сведения, содержащиеся в трудовом договоре

Признается всеми

Адрес выполнения трудовой функции

Признается всеми

Сведения о доходах, заработной плате

Признается всеми

Номера банковских счетов

Признается всеми

Сведения о наличии водительских прав (категория водительских прав, стаж вождения)

Признается всеми

Сведения об отнесении к категориям ветеранов

Признается всеми

Сведения о наличии ученой степени, ученого звания

Признается всеми

Сведения, содержащиеся в трудовом договоре

Признается всеми

Адрес выполнения трудовой функции

Признается всеми

Сведения о наличии (отсутствии) судимости

Признается всеми

Сведения о состоянии здоровья (листы о нетрудоспособности и др.)

Признается всеми

Файлы cookie и данные пользовательской аналитики

Например, собираемые посредством сервисов Яндекс.Метрика, Google Аналитика

Признается всеми

История заказов (даже в отсутствие его ФИО, поскольку такие как могут являться основой для профайлинга)

Признается всеми

Нужно помнить, что ваши персональные данные могут относится к биометрическим или персональным данным специальной категории, и требования к их обработке имеют особенности.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Понравилась статья? Поделиться с друзьями:
Бухгалтерия Галилео
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: