Анкета личные данные сотрудника

Содержание:

Персональные данные работника

Современный предприниматель

Валерий Романов

Какие документы должен составить индивидуальный предприниматель для защиты персональных данных сотрудников?

Что указывается в положении о персональных данных?

Нужно ли от каждого сотрудника получать согласие на обработку данных?

Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. № 152-ФЗ (далее — Закон № 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.

Персональные данные в рамках ТК РФ

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта – обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона № 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов» (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Документы, в которых содержатся персональные данные работников

№ п/п

Вид документа

Персональные данные сотрудника

Анкета, другой документ, заполняемый кандидатом на должность при собеседовании

Анкетные, биографические данные физлица

Копия паспорта или другого документа, удостоверяющего личность

ФИО, дата рождения. Адрес регистрации, семейное положение

Информация о трудовом стаже, предыдущих местах работы

Копия страхового свидетельства государственного пенсионного страхования

ФИО, личные данные

Документы воинского учета

Информация о воинской обязанности

Документы об образовании, квалификации, наличии специальных знаний

Сведения о квалификации

Личная карточка (форма № Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. № 1)

ФИО сотрудника, место его рождения, состав семьи, образование, данные документа, удостоверяющего личность, другие сведения

Копии свидетельств о заключении брака, рождении детей

Состав семьи, изменения в семейном положении

Справка о доходах с предыдущего места работы

ФИО, данные о доходе и удержанном НДФЛ

Сведения о должности, зарплате, месте работы, рабочем месте, другие персональные данные

Приказы по личному составу

Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью

Положение о персональных данных

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках – положение о персональных данных работников. Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все – необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Основные разделы, которые должны содержаться в положении о персональных данных работников

№ п/п

Раздел

Содержание

Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных)

Понятия и состав персональных данных

Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ.

Далее перечислить документы, в которых содержатся персональные данные, и перечислить состав персональных данных (анкетные данные, домашний адрес, телефон, сведения о стаже, зарплате и т.п.)

Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ

Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных

Права работника перечислены в статье 89 ТК РФ

Обработка персональных данных

Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел «Использование персональных данных», где указать цели использования личной информации). Также можно указать сроки хранения документов

Передача персональных данных

Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение – случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды)

Доступ к персональным данным

Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника)

Защита персональных данных

Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника)

Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ)

Согласие работника

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона № 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

Согласие работника на обработку персональных данных

ИП Смирнову А. С.

Заявление на обработку персональных данных

Я, Киселева Елена Николаевна

зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15

паспорт серия _45 04_ № _123456_, выдан _ОВД «Левобережный» г. Москвы 15.04.2002

даю согласие __ Индивидуальному предпринимателю Смирнову Антону Сергеевичу

адрес: ___г. Москва ул. Полярная, д. 25, кв. 75

на автоматизированную, а также без использования средств автоматизации обработку следующих персональных данных: ФИО, паспортные данные, дата рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства государственного пенсионного страхования_______________

в целях соблюдения законодательства, обеспечения личной безопасности, контроля выполняемой работы, обеспечения сохранности имущества.

Перечень действий с персональными данными:

— формирования кадровых документов и выполнения требований Трудового кодекса;

— начисления заработной платы, исчисления и уплаты предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование;

— представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ;

— размещения моих фотографий, фамилии, имени, отчества на интернет-сайте.

Данное согласие действительно с __ 1 декабря 2011 года до даты расторжения трудового договора

Согласие может быть полностью или частично отозвано субъектом персональных данных на основании его заявления

Дата заполнения 1 декабря 2011 года

Анкета при приеме на работу

Анкета — это один из документов, посредством которого осуществляется сбор важных для работодателя сведений о претендентах на ту или иную должность. В дальнейшем на основании информации, представленной соискателем в анкете, кадровой службой организации будет формироваться личное дело работника.

Какой-либо нормативно-закрепленной формы анкеты в настоящее время нет. Невозможно разработать полностью информативную анкету. В каждом конкретном случае, для каждого предприятия она своя, в зависимости от информации, которую работодатель хотел бы получить от работника. Наиболее социально значимые вопросы, такие как место жительства, гражданство, право на работу, судимости, биографические и профессиональные данные должны быть в ней отражены (главное не переборщить с объемом анкеты). Как правило, работник заполняет анкету на этапе собеседования при приеме на работу.

В настоящее время большинство соискателей приходят на собеседование с подробными резюме и всевозможными к ним дополнениями, поэтому заполнение анкет распространенно не повсеместно. Зачастую информации, изложенной в резюме, для работодателя вполне достаточно. Но не всегда.

Прежде всего, правильно заполненная анкета позволяет работодателю оценить претендента с точки зрения соответствия личностной спецификации, то есть понять, какими качествами обладает человек для успешного выполнения порученной ему работы.

Заполнение анкеты при приеме на работу

Анкетирование претендентов во многом зависит от внутрифирменных правил и чаще всего распространенно в крупных организациях. Как правило, соискателям не сообщается о предстоящем анкетировании, поэтому отправляясь на собеседование помимо резюме желательно прихватить с собой копии или оригиналы других документов, которые так или иначе могут способствовать успешному трудоустройству.

Обычно работодатели требуют заполнять анкету от руки, поэтому опрашиваемому необходимо подойти к этому процессу со всей ответственностью и постараться не допускать ошибок и исправлений. Для этого, лучше всего перед началом заполнения ознакомиться со всеми вопросами, представленными в анкете, и набросать в уме предварительный план ответов.

Крайне не желательно оставлять в анкете незаполненные пункты. Так, например, если запрашиваемая информация не имеет никакого отношения к соискателю, в качестве ответа можно указать «не имеется». Это даст понять людям, которые будут читать анкету, что претендент не пропустил (сознательно ИЛИ нет) какой-то вопрос.

Правовые аспекты составления анкет

Впервые, после принятия Конституции Российской Федерации в 1993 году, наше государство вспомнило о задекларированной в Основном законе своей обязанности охранять основные права и свободы человека, включая информацию о частной жизни своих граждан.

Таким образом, на этапе составления (разработки) формы анкеты не стоит забывать о статье 86 Трудового кодекса, которая запрещает работодателю собирать (получать) и обрабатывать персональные данные работника, затрагивающие его политические, религиозные и иные убеждения, а данные о частной жизни только с письменного согласия самого работника.

В исключительных случаях, прямо предусмотренных федеральным законом, работодатель вправе собирать указанные данные, если они непосредственно относятся к вопросам трудоустройства (например, при допуске к сведениям, содержащим государственную тайну).

Работодатели не вправе при приеме на работу (да и не только) собирать и обрабатывать персональные данные работника, относящиеся к его членству в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом».

Невредно напомнить, что на любом этапе работы с кадрами организация обязана соблюдать конфиденциальность, да и просто нормы приличия.

В случае не соблюдения режима конфиденциальности информации, минимально провинившийся работник получит выговор, и более, может быть уволен по пункту В статьи 81 Трудового кодекса или даже обвинен по статье 137 Уголовного кодекса РФ «Нарушение неприкосновенности частной жизни», максимальное наказание по которой — арест на срок от четырех до шести месяцев, что согласитесь тоже неприятно.

Согласие на обработку персональных данных: оформляем правильно

Согласие на обработку персональных данных — дает право на обработку паспортных данных, адреса, даты рождения и даже фамилия имя и отчество каждого гражданина, которые особо охраняет законодательство. Все лица, которые по тем или иным причинам получают, обрабатывают, передают или хранят такие сведения, являются операторами и обязательно должны получить согласие на любые действия с полученной информацией. Образец соглашения на обработку персональных данных а также требования к его оформлению вы сможете найти в специальном материале PPT.ru.

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 N 152-ФЗ в редакции от 22.02.2017 г. В соответствии с этим документом, под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком именно человеке идет речь.

Что именно является личной информацией граждан

Конкретные указания на то, какая именно информация о человеке является его индивидуальными и охраняемыми данными в законодательстве отсутствует. По сложившейся практике под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах, например при трудоустройстве. Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, например национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

Где можно найти персональные данные гражданина

Существует целый ряд документов, которые по своей сути являются источниками и, одновременно, хранилищами личной информации. К ним, в частности, относятся:

  • паспорт гражданина (внутренний и заграничный)
  • другие документы, удостоверяющие личность;
  • трудовая книжка;
  • военный билет;
  • свидетельство о рождении;
  • документы об образовании,
  • документы о составе семьи;
  • справки о доходах;
  • анкеты, заполняемые при трудоустройстве;
  • автобиография;
  • характеристики;
  • личные карточки работников (форма Т-2);
  • другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Именно они, а также все остальные лица, к которым попадает такая информация, являются операторами персональных данных.

Операторы персональных данных и действия с ними

В статье 3 Закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели как юрлица, так и ИП являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус практически не ограничен. Это может быть любое лицо, которому человек доверил информацию о себе.

Отдельное внимание нужно уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда, как часть 3 все той же статьи 3 Закона № 152-ФЗ регламентирует это понятие, как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор,
  • запись,
  • систематизацию,
  • накопление,
  • хранение,
  • уточнение (обновление, изменение),
  • извлечение,
  • использование,
  • передачу (распространение, предоставление, доступ),
  • обезличивание,
  • блокирование,
  • удаление или уничтожение данных.

Все операции могут проходить как в бумажном ручном режиме, так и с использованием средств автоматизации, в том числе в режиме онлайн. Именно на все эти действия оператор должен получить от владельца бланк согласия на обработку персональных данных 2018. При этом, для работодателей это является отдельным случаем, так как цели их обработки, в том числе, регулирует статья 86 Трудового кодекса РФ .

Заявление о согласии на обработку персональных данных и требования к оформлению документов

Как уже было сказано выше, операторы обязаны получить от граждан согласие на обработку персональных данных на сайте или в бумажном варианте. Однако образец формы согласия на обработку персональных данных для организаций и учреждений немного отличается от того заявления, которое должен взять с каждого нового работника его работодатель. Для начала определимся с общими требованиями к оформлению этих документов.

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное: не нарушать требования, установленные федеральными законами и кодексами. Поэтому, прежде чем приступать к обработке и думать, какой образец соглашения на обработку персональных данных лучше использовать, необходимо утвердить локальный акт по организации «Положение о персональных данных». Именно в этом документе должны содержаться все основные требования к правилам оформления документации. Положение должен утвердить руководитель с согласия профсоюзного органа (при его наличии).

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным Положением под роспись. Для этих целей можно даже завести специальный журнал. Если Положения в организации-операторе не будет, это является грубым нарушением за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Образец заполнения согласия на обработку персональных данных

Требования к согласию, который должен дать владелец личной информации для ее обработки оператором, определен в части 1 статьи 9 Закона N 152-ФЗ. Главное требование — такое согласие должно быть конкретным, информированным и сознательным. А также обязательно оформленным в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна быть возможность в любой момент подтвердить факт его получения.

При этом, хотя в самом законе о письменной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание последует в том случае, если оператор начал обработку:

Поэтому, лучше всего сразу оформить заявление о согласии на все манипуляции с персональными данными, и больше не переживать по этому поводу. Универсального бланка такого документа не существует. Поэтому каждый оператор может самостоятельно его разработать или использовать предложенные образцы, подготовленные специалистами Консультант Плюс.

Образец соглашения на обработку персональных данных работника с работодателем, например, может выглядеть так:

Произвольная форма согласия или заявления не исключает целого ряда требований, установленных в статье 9 Закона N 152-ФЗ к его содержанию. В нем обязательно должны быть указаны:

  1. Фамилия имя и отчество лица, его адрес, а также полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина);
  2. Наименование или Ф.И.О. и адрес оператора;
  3. Цель получения личной информации;
  4. Перечень данных, которые подлежат обработке.
  5. Данные организации или ИП, которым оператор перепоручил любые манипуляции с данными;
  6. Перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования;.
  7. Срок, в течение которого действует согласие и способ его отзыва;
  8. Личная подпись гражданина.

Персональные данные работника: за сохранность и защиту спрашивают строже.

Федеральным законом от 07.02.2016 № 13-ФЗ [1] (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений [2] . С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ [3] (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

Состав административного правонарушения

Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния

Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.

Вместо штрафа может быть сделано предупреждение

Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*

Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75

Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30.

Вместо штрафа может быть сделано предупреждение

Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40.

Вместо штрафа может быть сделано предупреждение

Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45.

Вместо штрафа может быть сделано предупреждение

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Подчеркнем, что новые административные штрафы будут применяться с 1 июля 2017 года.

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы [4] . По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

К категории персональных данных относятся, к примеру, такие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

  • в паспорте или ином документе, удостоверяющем личность;
  • в трудовой книжке;
  • в документах о воинском учете, образовании, составе семьи;
  • в справке о доходах с предыдущего места работы;
  • в анкете, заполняемой при трудоустройстве;
  • в личной карточке работника (форма Т-2);
  • в свидетельствах о заключении брака, рождении ребенка;
  • в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

  • обеспечение соблюдения законодательства;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников

Основные принципы обработки персональных данных

  • обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей;
  • содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки;
  • при обработке данных должны быть обеспечены их точность и достаточность, а в необходимых случаях – актуальность по отношению к целям обработки;
  • хранение данных должно осуществляться в форме, позволяющей определить их субъекта, не дольше, чем этого требуют цели их обработки*

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ [5] . Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

  • перечень сведений, относимых к категории персональных данных;
  • какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
  • перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
  • кто и в каком порядке имеет доступ к полученным персональным данным;
  • меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
  • порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
  • процедуру уточнения персональных данных работников, их блокировку и уничтожение;
  • условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

  • без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
  • либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

  1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
  2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
  3. Наименование или Ф. И. О. и адрес работодателя.
  4. Цель обработки персональных данных.
  5. Перечень персональных данных, которые подлежат обработке.
  6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
  7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
  8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
  9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора [6] . По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены