04.08.2021 Законы для бизнеса После нововведений в любой момент компанию могут проверить. Например, сотрудник пожалуется в Роскомнадзор, что руководитель передал банку его персональные данные или вывесил на стенде заявление в качестве образца. В компанию придет проверяющий и оштрафует за каждую обнаруженную ошибку в работе с персональными данными. Рассказываем, за какие нарушения наказывает Роскомнадзор, и как избежать штрафов. 

Что такое персональные данные

Персональные данные (ПД) — это любые сведения или факты о человеке, по которым можно прямо или косвенно установить его личность. В законе нет перечня, какие сведения относятся к персональным данным.

Поэтому мы приводим примерный список, который вы можете сокращать или расширять:

• пол, возраст или дата рождения;

• образование, профессия, квалификация;

• адрес проживания и номер телефона;

• семейное положение, наличие детей;

• финансовое состояние и размер зарплаты;

• ссылка на персональный сайт или профиль в социальной сети;

• фотографии и видеоматериалы, по которым можно установить личность человека.

Важно: без согласия работника нельзя хранить и распространять сведения о нем. Например, на сайте опубликован обезличенный номер телефона, и непонятно, кому именно он принадлежит — это не нарушает закона о персональных данных. Но если на сайте опубликованы фамилия сотрудника, его должность и контакты для связи, руководителю необходимо получить согласие работника на публикацию этих сведений. 

Операторы персональных данных. Если обычный человек, ИП, организация, учреждение органов власти собирают, обрабатывают и хранят ПД — они автоматически становятся операторами персональных данных. Интернет-магазин, на сайте которого пользователь добровольно вводит сведения о себе (имя или логин, адрес электронной почты или телефон, адрес для доставки товара), становится оператором ПД. 

Работодатели тоже считаются операторами персональных данных, потому что они собирают, хранят и распространяют личные сведения о сотрудниках. 

Когда нужно получить согласие на распространение

С 1 марта 2021 года закон о персональных данных изменился. До нововведения операторы писали общий текст согласия на хранение, обработку и распространения ПД.

Если работник подписывал такой документ — работодатель мог распоряжаться сведениями о сотрудниках по своему усмотрению: опубликовать на сайте или в СМИ, передать партнерам.

Сейчас ужесточились требования к форме согласия — в документе нужно прямо и недвусмысленно указать перечень данных, которые планируете распространять. Это требование касается компаний, которые предоставляют сведения о сотруднике неопределенному кругу лиц или передают третьим лицам.

 

Распространение сведений неопределенному кругу лиц. Если личные сведения сотрудника могут стать публичными, — работодатель обязан оформить согласие на их распространение. Например, согласие необходимо получить, если организация:

• публикует на сайте сведения о сотрудниках;

• в СМИ, социальных сетях или на корпоративном сайте дает ссылки на аккаунты сотрудников;

• использует личный телефон сотрудника в рекламных материалах. 

Передача сведений третьим лицам. Если работодатель передает личные сведения о работнике третьим лицам, необходимо получить согласие на обработку и распространение ПД. Рассмотрим три рабочих ситуации, связанных с передачей данных. 

• Кладовщик отправил грузчика получить товар и выдал доверенность, в которой указаны паспортные данные работника. 

• Руководитель заключил со страховщиками договор ДМС и вписал в полис сведения из паспорта сотрудника. 

• Бухгалтер передала кредитному менеджеру сведения о должности и зарплате сотрудника, его банковские реквизиты. 

Во всех этих ситуациях сведения о сотрудниках переходят третьим лицам, поэтому необходимо получить согласие на распространение ПД.  

Когда не нужно брать согласие на распространение

Работодатель может не брать у сотрудников согласие на распространение данных, которые запрашиваются по трудовому законодательству. Эта информация нужна, чтобы начислять зарплату, заполнять трудовые книжки и отчитываться в различные фонды.

Например, не нужно получать согласие на хранение сведений, которые попадают в личную карточку работника:

• свидетельство о пенсионной страховке — СНИЛС;

• диплом или другие документы, подтверждающие образование и квалификацию;

• документы воинского учета — для лиц, которых могут призвать в армию.

Кроме того, есть ряд государственных учреждений, куда работодатель может передавать персональные данные без согласия сотрудника:

• суд и служба судебных приставов.

Во всех остальных случаях необходимо получить согласие сотрудника. 

Как составить согласие на распространение

Можно оформить бумажный или электронный документ.

Унифицированной формы согласия нет, но Роскомнадзор перечислил сведения, которые необходимо внести в согласие:

• контакты сотрудника (номер телефона, домашний адрес, email); 

• наименование, адрес, ИНН и ОГРН работодателя;

• сервер, домен или имя файла веб-страницы, на которой будут опубликованы персональные данные сотрудника;

• перечень персональных данных, на которые работодатель получает согласие (Ф. И. О., дата рождения, семейное положение, образование, профессия, социальное положение, доходы, национальность, состояние здоровья, политические, религиозные и философские убеждения, интимная жизнь, биометрические персональные данные);

• условия, при которых персональные данные можно передать третьим лицам.

Отдельно необходимо перечислить сведения, в отношении которых устанавливаются запреты и ограничения. По своему желанию работник помечает сведения, на которые он устанавливает запрет на распространение. ПримерМенеджер Круглов И. И. письменно разрешил опубликовать на сайте компании Ф. И. О., дату и месяц рождения, но отказался указывать год и место рождения. Образец согласия на обработку и распространение персональных данных С 1 июля 2021 года на сайте Роскомнадзор действует сервис, который помогает работодателю составить форму согласия на обработку персональных данных, разрешенных для распространения. Воспользоваться сервисом могут работодатели, авторизованные на Госуслугах. Специалисты Роскомнадзора проверяют заполненную форму, указывают на ошибки и рекомендуют, какие еще сведения нужно включить в документ  

Сколько хранить персональные данные

После увольнения сотрудника работодатель продолжает хранить его персональные данные.

Это необходимо, чтобы начислить, удержать и перечислить налоги за последний месяц работы, отчитаться в фонды и налоговую инспекцию, предоставить документы проверяющим. Срок хранения — 3 года начиная с 1 января следующего года.

Например, если сотрудник уволился в августе 2021 года, то его согласие на обработку ПД можно уничтожить только после 1 января 2025 года.

Ответственность за нарушение закона о персональных данных 

С 27 марта 2021 года в два раза выросли штрафы за нарушение правил работы с личной информацией сотрудников. Самый высокий штраф — 500 000 ₽.

Обработка персональных данных без письменного согласия сотрудника.

К обработке персональных данных относится передача, хранение и распространение.

Если работодатель нарушит один из этих пунктов, например, на общем собрании расскажет о зарплате сотрудника, премиях, бонусах и других денежных вознаграждениях — его могут оштрафовать.

Не выполнили требование сотрудника обновить, заблокировать или уничтожить его персональные данные. Например, кадровик забыл обновить в зарплатной карте паспортные данные работника или его банковские реквизиты, и сотрудник не смог вовремя получить зарплату — это нарушение. 

Сотруднику не предоставили информацию о его персональных данных. Например, бухгалтер не выдал сотруднику расчетный листок, справку или сведения о страховом стаже. Если сотрудник пожалуется в надзорные органы — оштрафуют бухгалтера и компанию.

Нарушили условия хранения персональных данных. Если бухгалтер оставит на рабочем столе расчетные листки сотрудников, и посторонние увидят сведения о зарплате — бухгалтера и компанию могут оштрафовать. 

Обработка персональных данных в ситуациях, не описанных в законе. Например, работодатель передал личные сведения сотрудника — Ф. И. О., адрес, телефон — коллекторскому агентству. Если сотрудник не давал согласия на передачу этих данных третьим лицам, значит, работодатель нарушил закон. 

Лариса Трембицкая, разбирается в трудовом законодательстве

Персональные данные для digital-маркетинга: полный гайд и шаблоны документов

RTM Group

Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.

Сайт: RTM Group

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Это могут быть:

• фамилия, имя, отчество;
• мобильный телефон;
• электронная почта;
• адрес проживания;
• фотография;
• паспортные данные;
• другие сведения, позволяющие идентифицировать человека.

Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.

https://www.youtube.com/watch?v=yQyt5voAcoc\u0026pp=ygWMA9CU0L7Qu9C20LXQvSDQu9C4INGA0LDQsdC-0YLQvtC00LDRgtC10LvRjCDQsdGA0LDRgtGMINGB0L7Qs9C70LDRgdC40LUg0L3QsCDQvtCx0YDQsNCx0L7RgtC60YMg0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSDRgyDQv9GA0LjQvdC40LzQsNC10LzQvtCz0L4g0L3QsCDRgNCw0LHQvtGC0YMg0LIg0L_QvtGA0Y_QtNC60LUg0L7RgNCz0LDQvdC40LfQvtCy0LDQvdC90L7Qs9C-INC90LDQsdC-0YDQsCDQs9GA0LDQttC00LDQvdC40L3QsCDQuNC3INCj0LfQsdC10LrQuNGB0YLQsNC90LAg0LjQu9C4INGN0YLQviDRgtGA0LXQsdC-0LLQsNC90LjQtSDRgNCw0YHQv9GA0L7RgdGC0YDQsNC90Y_QtdGC0YHRjyDRgtC-0LvRjNC60L4g0L3QsCDQs9GA0LDQttC00LDQvSDQoNCkPw%3D%3D

Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:

• Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
• Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
• Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.

В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.

О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Перед подачей заявления нужно подготовиться:

1. Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
2. Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:

• заполнить, распечатать и отправить в местное отделение Роскомнадзора;
• заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
• заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».

В форме уведомления нужно предоставить сведения об операторе, о целях обработки, о хранении и защите данных. Скриншот: сайт Роскомнадзора

Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.

Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:

• обрабатываете данные сотрудников по ТК РФ;
• используете только Ф. И. О.;
• выдаёте разовый пропуск на территорию.

Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.

Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.

Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных.

Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ.

Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.

https://www.youtube.com/watch?v=yQyt5voAcoc\u0026pp=YAHIAQE%3D

Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:

• Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
• Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
• Салон выступает посредником при продаже услуг страхования.
• Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.

Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

• Политику конфиденциальности.
• Правила работы с персональными данными.
• Согласие на обработку персональных данных.
• Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Политику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.

Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.

Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.

Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.

Шаблон Согласия на обработку персональных данных

Пример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox

Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Шаблон Обязательства о неразглашении персональных данных

Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

https://www.youtube.com/watch?v=viltsglJO5E\u0026pp=ygWMA9CU0L7Qu9C20LXQvSDQu9C4INGA0LDQsdC-0YLQvtC00LDRgtC10LvRjCDQsdGA0LDRgtGMINGB0L7Qs9C70LDRgdC40LUg0L3QsCDQvtCx0YDQsNCx0L7RgtC60YMg0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSDRgyDQv9GA0LjQvdC40LzQsNC10LzQvtCz0L4g0L3QsCDRgNCw0LHQvtGC0YMg0LIg0L_QvtGA0Y_QtNC60LUg0L7RgNCz0LDQvdC40LfQvtCy0LDQvdC90L7Qs9C-INC90LDQsdC-0YDQsCDQs9GA0LDQttC00LDQvdC40L3QsCDQuNC3INCj0LfQsdC10LrQuNGB0YLQsNC90LAg0LjQu9C4INGN0YLQviDRgtGA0LXQsdC-0LLQsNC90LjQtSDRgNCw0YHQv9GA0L7RgdGC0YDQsNC90Y_QtdGC0YHRjyDRgtC-0LvRjNC60L4g0L3QsCDQs9GA0LDQttC00LDQvSDQoNCkPw%3D%3D

Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.

Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.

Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.

Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.

Так выглядит чекбокс: рядом с окном находится текст, уведомляющий пользователя об обработке данных. Скриншот: сайт Soldi Marketing

Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.

Так выглядит получение согласия с помощью кнопки. Скриншот: сайт RTM Group

Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.

В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.

Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало.

Закон разрешает не брать согласие, если «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».

Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.

Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.

По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:

• для граждан — от 700 до 100 000 рублей;
• для должностных лиц — от 3000 до 800 000 рублей;
• для индивидуальных предпринимателей — от 5000 до 20 000 рублей;
• для юридических лиц — от 15 000 до 18 000 000 рублей.

Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.

Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.

https://www.youtube.com/watch?v=viltsglJO5E\u0026pp=YAHIAQE%3D

Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ.

Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России.

У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.

Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.

Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.

Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.

Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.

Защита персональных данных работника по ТК РФ

Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников.

Соответственно, все работодатели являются операторами персональных данных и должны соблюдать требования к сбору, хранению, обработке и уничтожению персональных данных в соответствии с требованиями, указанными в Законе 152-ФЗ и в главе 14 ТК РФ.    

Как соблюсти все требования к защите персональных данных работников в своей статье рассказывает эксперт «Что делать Консалт». Также она дает полный разбор мер, которые обязан предпринять работодатель, чтобы защитить персональные данные работников с учётом всех требований законодательства.

Определить цель обработки

В законе указаны принципы работы с персональными данными, среди которых целевой характер обработки. Цель необходимо определить в первую очередь, ещё до начала обработки. Именно такую цель нужно указывать в документах по персональным данным. Вокруг цели складывается порядок действий по работе с персональными данными. За обработку персональных данных, не совместимых с целями обработки, возможно привлечение к ответственности. Штраф по ч. 1 ст. 13.11 КоАП РФ для организации от 60 000 до 100 000 рублей.

В рамках трудового законодательства выделяют следующие цели обработки:

• ведение кадрового делопроизводства;
• содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
• привлечение и отбор кандидатов на работу у оператора;
• организация постановки на индивидуальный (персонифицированный) учёт работников в системе обязательного пенсионного страхования;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчётности;
• ведение бухгалтерского учёта.

Целей обработки у оператора может быть несколько, при этом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ст. 5 Закона 152-ФЗ). Если организация обрабатывает персональные данные не только сотрудников, но и клиентов, то объединять эти базы нельзя.

Разработать документы по защите персональных данных

Закон не содержит чёткого перечня документов, которые должны быть у оператора персональных данных. Рекомендуем разработать следующие документы.

1. Политика в отношении обработки персональных данных. Это самый главный документ, который устанавливает категории, цели, способы обработки, порядок хранения и использования. Роскомнадзором разработаны рекомендации по составлению этого документа (Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»). В законе нет ответа на вопрос, необходимо ли составлять политику об обработке персональных данных сотрудников отдельно или можно утвердить один документ и включить в него все категории персональных данных, которые обрабатываются в организации. Вы можете выбрать любой вариант. Обратите внимание, политика в отношении обработки персональных данных работников является обязательным локальным нормативным актом организации, и сотрудники должны быть ознакомлены с ней под подпись (п. 8 ст. 86 ТК РФ).

• Формы и образцы заполнения политики в отношении обработки персональных данных вы можете найти в справочно-правовой системе КонсультантПлюс:
• Форма: Политика оператора в отношении обработки персональных данных (образец заполнения) (КонсультантПлюс, 2022) {КонсультантПлюс}
• Форма: Положение (политика) о персональных данных работников организации (Подготовлена для системы КонсультантПлюс, 2022) {КонсультантПлюс}

1. Приказ о назначении ответственного за организацию обработки персональных данных. Это следует из ч. 1 ст. 22.1 Закона 152-ФЗ. Закон не устанавливает требований к должности работника. Им может быть любой сотрудник организации.
2. Приказ об утверждении перечня работников, имеющих доступ к персональным данным.
3. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным.

Обратите внимание на документы, которые касаются лиц, имеющих доступ к персональным данным. Это очень важно. В первую очередь это поможет избежать ответственности за нарушение законодательства.

Если таких документов нет, то получается, что вы передали информацию третьим лицам без согласия. За такие действия возможен штраф по ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 150 000 рублей.

Кроме того, это поможет привлечь к ответственности лиц в случае разглашения такой информации.

https://www.youtube.com/watch?v=0AWFg5qE4tQ\u0026pp=ygWMA9CU0L7Qu9C20LXQvSDQu9C4INGA0LDQsdC-0YLQvtC00LDRgtC10LvRjCDQsdGA0LDRgtGMINGB0L7Qs9C70LDRgdC40LUg0L3QsCDQvtCx0YDQsNCx0L7RgtC60YMg0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSDRgyDQv9GA0LjQvdC40LzQsNC10LzQvtCz0L4g0L3QsCDRgNCw0LHQvtGC0YMg0LIg0L_QvtGA0Y_QtNC60LUg0L7RgNCz0LDQvdC40LfQvtCy0LDQvdC90L7Qs9C-INC90LDQsdC-0YDQsCDQs9GA0LDQttC00LDQvdC40L3QsCDQuNC3INCj0LfQsdC10LrQuNGB0YLQsNC90LAg0LjQu9C4INGN0YLQviDRgtGA0LXQsdC-0LLQsNC90LjQtSDRgNCw0YHQv9GA0L7RgdGC0YDQsNC90Y_QtdGC0YHRjyDRgtC-0LvRjNC60L4g0L3QsCDQs9GA0LDQttC00LDQvSDQoNCkPw%3D%3D

Можно разработать и другие документы, например регламенты по работе с персональными данными или журналы учёта.

Готовые решения СПС КонсультантПлюс подскажут, как действовать в конкретной ситуации: пошаговые инструкции, образцы документов, ссылки на правовые акты.

подробнее

Опубликовать политику ПД

После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:

• опубликовать политику на сайте организации;
• разместить на информационном стенде в офисе.

Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников? Такого требования нет в Трудовом кодексе. Кроме того, из п. 8 ст.

86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись, и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ.

Но обработка персональных данных работника регулируется не только Трудовым кодексом. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности.

Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности опубликовать политику на сайте, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.

Обращаем внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ. Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 60 000 рублей. 

Уникальный инструмент «Перспективы и риски арбитражных споров» СПС КонсультантПлюс поможет одержать победу в судебном споре.

подробнее

Уведомить Роскомнадзор

До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ.

В некоторых случаях законом предусмотрены исключения, среди которых обработка в соответствии с трудовым законодательством.

Обратите внимание, исключение действует только на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.

Аналогичное уведомление необходимо направить, если цель обработки выходит за рамки трудового законодательства. Например, в случае если организация передаёт персональные данные в рамках аудиторской проверки.

Это связанно с тем, что передача аудиторской организации информации о работниках ООО проводится не в соответствии с трудовым законодательством, а в соответствии с Законом № 307-ФЗ.

При этом проводится аудит в обязательном порядке или добровольном, не имеет правового значения.

Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов.

Включение в реестр не влечёт возникновения дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст. 19.

7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.

Направить уведомление можно на бумажном носителе или в электронной форме.

Персональные данные иностранного гражданина

Законодательство о защите персональных данных распространяется на любых работников, в том числе иностранных.

Получить консультацию миграционного специалиста

Обработка персональных данных иностранных граждан

Согласно п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных допускается без согласия субъекта персональных данных при условии, что обработка персональных данных необходима для исполнения договора, стороной которого является субъект.

Иностранный работник является субъектом персональных данных наравне с гражданином РФ.

И если согласие на обработку данных не требуется, чтобы работодатель мог исполнить трудовой договор, то для принятия решения о его приеме — это необходимо.

Особенно, если работодателю необходимо получить информацию, которая не указывается соискателем в резюме: о наличие личного автомобиля, приверженности здорового образа жизни, социальной ответственности, его кредитной истории и т.д.

Если при проверке кандидата использовать дополнительные сервисы проверки или даже социальные сети, это может быть воспринято уже как нарушение закона о персональных данных.

Вообще, практика применения закона о персональных данных все еще очень разнообразна в своих трактовках.

Поэтому при работе с иностранными гражданами мы рекомендуем брать с них согласия еще с этапа соискателя на должность.

Кроме этого согласно статье 86 Трудового кодекса РФ:

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. И все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

В связи с этим работодателю может потребоваться оформлять каждый раз согласие на обработку персональных данных иностранного гражданина. А это еще один документ, который нужно будет верно заполнить кадровому специалисту компании.

Чтобы сократить сроки подготовки всех документов и упростить работу, сотрудники компаний и ИП, которые ведут иностранных работников, могут использовать наш сервис «Мигрант-онлайн».

Он уже содержит в себе типовой шаблон согласия на обработку персональных данных, которое заполнится автоматически данными внесенного иностранца.

Вместе с ним, один раз внеся данные, миграционный специалист сможет заполнить и уведомление о заключении договора, приказ об отстранении или допуске к работе, уведомление об увольнении, уведомления о прибытии и убытии с места пребывания. И взять все документы под контроль.

Чтобы узнать больше и получить доступ к программе, позвоните по номеру 8 812 443-51-30.

Работаем с персональными данными правильно: ответы на самые актуальные вопросы

Работаем с персональными данными правильно: ответы на самые актуальные вопросы

На какие организации распространяются сентябрьские изменения в работе с персональными данными?

Распространяются ли поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», на коммерческие организации? Надо ли их отражать в локальных актах или других документах?

Да, поправки в Федеральный закон № 152-ФЗ[1], внесенные Федеральным законом № 266-ФЗ[2], касаются всех без исключения операторов персональных данных (ПД), которыми признаются любые юридические или физические лица (в т. ч. иностранные)[3], которые получают и используют (обрабатывают) какие-либо ПД российских граждан (работников, клиентов, партнеров, исполнителей по ГПД и т. д.).

Что касается ЛНА и иных документов, регулирующих правила обработки ПД, то их, безусловно, нужно пересмотреть и, при необходимости (а такая необходимость возникнет, скорее всего, у большинства работодателей), актуализировать. Перечислим нововведения, которые должны быть учтены в документах обычной коммерческой организации (таблица 1):

Таблица 1

Норма закона	Какой документ пересмотреть	Что учесть
Подпункт «а» п. 3 ст. 1 Федерального закона № 266-ФЗ	Договоры (трудовые, ГПХ, в т. ч. на обработку ПД другим лицом)	Исключить положения (если они есть), которые: – ограничивают права и свободы субъекта ПД; – устанавливают случаи обработки ПД несовершеннолетних, если иное не предусмотрено законодательством РФ;– допускают в качестве условия заключения договора бездействие субъекта ПД
Подпункт «б» п. 3 ст. 1 Федерального закона 266-ФЗ	Поручение (договор) на обработку ПД другому лицу (например, когда кадровый или бухгалтерский учет ведет аутсорсинговая компания)	В поручении нужно указать: – перечень ПД и действий с ними, которые будет совершать данное лицо; – цели обработки ПД; – обязанность этого лица соблюдать конфиденциальность ПД и требования ст. 18 и 18.1 Федерального закона № 152-ФЗ; – обязанность предоставлять оператору документы и иную информацию, подтверждающую принятие мер по безопасности ПД;– требования к защите ПД в соответствии со ст. 19, ч. 3.1 ст. 21 Федерального закона № 125-ФЗ
Пункт 4 ст. 1 Федерального закона № 266-ФЗ	Согласие на обработку ПД	Теперь оно должно быть не просто конкретным, информированным и сознательным, а также «предметным» и «однозначным» (однако смысл новых терминов в законе не уточняется)
Пункт 6 ст. 1 Федерального закона № 266-ФЗ	ЛНА, регулирующий пропускной режим	Нельзя включать положения о том, что сдача биометрических данных (отпечатки пальцев, цифровое фото, 3D-модель лица) обязательна. Работодатель не вправе отказывать в приеме на работу или в доступе на рабочее место, если субъект ПД отказался предоставить биометрические ПД или дать согласие на их обработку
Пункты 8, 12, 13 ст. 1 Федерального закона № 266-ФЗ	– Положение о ПД; – Политика обработки ПД;– инструкция ответственного за ПД	Значительно сократились сроки реагирования оператора на запросы субъекта ПД. Теперь в течение 10 рабочих дней (ранее — 30 дней), начиная с момента обращения или получения запроса, нужно: – предоставить субъекту ПД информацию, касающуюся обработки его ПД[4]; – предоставить возможность субъекту ознакомиться с его ПД, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации[5]; – предоставить в Роскомнадзор запрошенные этим органом сведения[6]; – прекратить обработку ПД по требованию субъекта ПД[7]. Этот срок может быть продлен, но не более чем на пять рабочих дней, если оператор направит лицу, сделавшему запрос, мотивированное уведомление с указанием причин продления срока. Направлять сведения и информацию субъекту ПД нужно в той же форме, в какой был получен запрос, или в форме, указанной в запросе
Пункты 9, 11, 13 ст. 1 Федерального закона № 266-ФЗ	Расширен круг обязанностей оператора ПД. Теперь он обязан: – разъяснять субъекту ПД юридические последствия отказа предоставить ПД и (или) дать согласие на их обработку, если предоставление этих ПД или согласие являются обязательными; – предоставить субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПД получены не от субъекта ПД[8]; –- в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД – обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД. Порядок информирования будет установлен позднее; – уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов ПД, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий инцидента. Оценка вреда будет проводиться в соответствии с требованиями Роскомнадзора (пока не установлены);
Пункт 10 ст. 1 Федерального закона № 266-ФЗ	– Положение о ПД; – Политика обработки ПД; – приказы по вопросам ПД	Теперь необходимые и достаточные меры, которые для выполнения требований Федерального закона № 152-ФЗ должен принимать каждый работодатель, окончательно стали обязательными[9]. Уточнено, что в ЛНА для каждой цели обработки ПД должны указываться: – категории и перечень обрабатываемых ПД; – способы и сроки обработки и хранения данных; – порядок уничтожения ПД

Нужно ли передавать в Роскомнадзор письменные согласия работников на обработку их персональных данных?

С 1 сентября в связи с изменениями, внесенными в Федеральный закон № 152-ФЗ, в Роскомнадзор необходимо подавать документ о начале обработки ПД. Нужно ли теперь подавать и согласие работников на обработку их ПД? Не совсем понятно, как это делать и как часто нужно извещать Роскомнадзор об обработке ПД.

Письменные согласия работников на обработку ПД не нужно передавать в Роспотребнадзор. Такой обязанности у операторов как не было ранее, так и не появилось с 1 сентября. Все согласия хранятся у работодателя и потребуются только при проверках, чтобы доказать, что вы обрабатываете ПД работников в соответствии с требованиями закона.

В Роскомнадзор направляются не согласия работников, а уведомление о намерении обрабатывать ПД, причем только один раз.

В нем работодатель информирует, что организация осуществляет обработку ПД работников, соискателей, исполнителей по договорам ГПХ, бывших работников и исполнителей (а также покупателей, вкладчиков и т.

д. — назовите нужные категории) и принимает определенные меры по их защите.

В уведомлении нет информации о каждом работнике, и к нему не нужно прикреплять согласия. При приеме новых работников уведомление заново не подается.

Однако если сведения, переданные в уведомлении, изменились (основной ОКВЭД, адрес организации, виды ПД, категории субъектов ПД, принимаемые меры защиты и т. д.

), в Роскомнадзор нужно будет направить заявление о внесении изменений в сведения в реестре операторов.

ОБРАТИТЕ ВНИМАНИЕ  Если организация уже есть в реестре операторов ПД в качестве работодателя и все содержащиеся в нем сведения актуальны и полны, отправлять уведомление о начале обработки ПД не нужно. Проверить наличие организации в реестре можно на портале Роскомнадзора (https://clck.ru/qCKyV).

[1] Здесь и далее: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 02.07.2021).