Насколько опасно хранение копий в личных делах

Формирование личных дел или личных папок сотрудников зачастую вызывает ряд вопросов со стороны проверяющих органов. Особое внимание тому перечню документов, которые содержатся в папках сотрудников уделяет Роскомнадзор. Инспекционный орган, который проводит проверки в части соблюдения требований по работе с персональными данными.

Личное дело – это систематизированный комплект документов, содержащих персональные данные работника. На практике он выглядит как папка с документами, формирующимися и подшивающимися в течение времени работы конкретного работника в организации. Требования к формированию и ведению личного дела установлены законодательно в отличии от формирования личной папки работника.

При проведении проверок Роскомнадзором абсолютно неважно какие папки формирует работодатель, ибо важно содержание, того что находится внутри этих папок.

Состав документации может быть разный, однако, если среди помещенных и хранящихся документов присутствуют копии, то их хранение должно соответствовать требованиям законодательства.

Хранение персональных данных, которые входят в процесс обработки персональных данных, осуществляемых работодателем, возможно, при наличии письменной формы согласия от работника. Обратите внимание, что речь идет именно о персональных данных (информации, прямо или косвенно определяющей субъекта персональных данных), а не о документах или копиях, содержащих персональные данные работника. Зачастую, работодатели считают, что если согласие на обработку персональных данных получено, то можно не только хранить персональные данные, но и копии документов, снятые с оригиналов, в которых содержатся персональные данные.

Статьей 5 Федерального закона № 152-ФЗ от 27.07.2006 года «О персональных данных» установлено требование, что хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является работник, равно как любой иной субъект персональных данных.  Эти требования установлены в отношении хранения именно персональных данных, а не копий документов их содержащих, в связи с чем при наличии в личном деле или личной папке сотрудника копий документов, содержащих персональные данные работника, данный факт признается нарушением закона в части наличия избыточных персональных данных по отношению к заявленным целям их обработки.

На практике работодатели помещают в папки очень много ненужных копий, которые, возможно, им будут необходимы «на всякий случай» от которых лучше избавляться, так как есть большая вероятность риска привлечения к административной ответственности, предусмотренной частью первой статьи 13.11 Кодекса РФ од административных правонарушениях (выписка представлена ниже) за осуществление обработки персональных данных не в целях, заявленных для обработки.

 

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (извлечение)

 

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, –

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц – от пяти тысяч до десяти тысяч рублей; на юридических лиц – от тридцати тысяч до пятидесяти тысяч рублей.

 

 

Обратите внимание, что избавляться можно не от всех копий документов, а только от тех, которые не имеют цели хранения. Если хранение копий документов, содержащих персональные данные необходимо во исполнение требований законодательства, либо в иных целях, определенных работодателем (например, копии документов об образовании при направлении работника на обучение, что предоставить их в учебное заведение), то такие копии можно хранить. Для этого рекомендуется закрепить в локальном нормативном акте по персональным порядок хранения копий, и в согласии на обработку персональных данных указать о том, что помимо обработки указанных в согласии персональных данных работник разрешает хранить копии документов, содержащих персональные данные с их указанием.

Автор:

Финатова Мария

Юрист-партнер

Ответственность генерального директора за нарушения по персональным данным

Еще одной большой зоной риска для руководителя организации являются персональные данные. При нарушении законодательства по персональным данным могут быть применены несколько видов ответственности, начиная с административной и заканчивая уголовной.

С 01.07.2017 года резко возрос размер административного штрафа за незаконный порядок обработки персональных данных. Ответственность предусмотрена статьей 13.11 Кодекса РФ об административных правонарушениях. Введена она 13-ФЗ от 07.02.2017 года.

Самым дорогим является осуществление обработки персональных данных без письменных согласий на обработку персональных данных. Это касается согласий с работниками, соискателями, родственниками работников, и иными третьими лицами, персональные данных которых обрабатываются. Согласия должны быть получены в письменной форме и их содержание должно соответствовать требованиям законодательства, в частности оно должно содержать в соответствии с требованиями п.4 статьи 9 152-ФЗ «О персональных данных» от 27.07.2006:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Размер административного штрафа за данное нарушение составляет на должностное лицо – от 10 000 до 20 000 рублей; на юридическое лицо – от 15 000 до 75 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо произвести проверку всех согласий, полученных от работников и при необходимости при отсутствии необходимых данных или обязательных условий, переподписать их с работниками

Вторым по значимости нарушений является непостановка на учет юридического лица в органах Роскомнадзора в качестве оператора персональных данных. Для этого существует определенная процедура, предусмотренная статьей 22 152-ФЗ «О персональных данных» от 27.07.2006 и Приказом Минкомсвязи России от 21.12.2011 N 346 “Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги “Ведение реестра операторов, осуществляющих обработку персональных данных”. За отсутствие в реестре работодателя в качестве официального оператора в реестре персональных данных предусмотрена ответственность в виде предупреждение или наложение административного штрафа на должностное лицо – от 5 000 до 10 000 рублей; на юридическое лицо – от 30 000 до 50 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо зарегистрироваться в качестве официального оператора на сайте Роскомнадзора https://rkn.gov.ru/

Третьим нарушением является несоответствие локального нормативного акта по персональным данным требованиям действующего законодательства.

В локальном нормативном акте должны быть прописаны:

  • общие принципы обработки персональных данных;
  • порядок обработки персональных данных на бумажных носителях;
  • порядок обработки персональных данных в информационных системах;
  • порядок хранения персональных данных;
  • порядок передачи персональных данных;
  • порядок обработки персональных данных должностными лицами, непосредственно осуществляющими обработку;
  • порядок обработки персональных данных при нахождении на территории работодателя третьих лиц.

Важно, что были быть описаны меры, необходимые и достаточные для обеспечения выполнения обязанностей по соблюдению требований к конфиденциальности персональных данных. Все работники должны быть ознакомлены с локальным нормативным актом под роспись. При несоответствии документа нормам действующего законодательства предусмотрена административная ответственность в виде предупреждение или наложение административного штрафа на должностное лицо – от 5 000 до 10 000 рублей; на юридическое лицо – от 30 000 до 50 000 рублей.

РЕКОМЕНДАЦИЯ: Проверить локальный нормативный акт, скорректировать его при необходимости, переутвердить и ознакомить под роспись все работников.

Отдельно можно выделить зону риска по необеспечению неограниченного доступа к локальному нормативному акту, определяющему политику работодателя в отношении обработки персональных данных, как того требует п. 2 статьи 18.1 152-ФЗ «О персональных данных» от 27.07.2006. Это отдельное нарушение, которое выделено в виде спецсостава. Административной ответственности не избежать на должностное лицо – от 3 000 до 6 000 рублей, на юридическое лицо – от 15 000 до 30 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо разместить на сайте компании локальные нормативные акты в области персональных данных. Если сайт отсутствует, то акт можно разместить перед входом в организацию на доске объявлений, или просто повесить рядом с входом, чтобы документ был виден всем.

Любой субъект персональных данных, будь то работник или любое другое лицо вправе направить запрос работодателю в отношении обработки его персональных данных, и работодатель обязан предоставить ему эту информацию. Исходя из самого определения «обработки персональных данных» обработка – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, соответственно в зависимости от запроса субъекта нужно будет предоставить ему интересующую его информацию. При невыполнении данной обязанности руководителю организации грозит предупреждение или наложение административного штрафа от 4 000 до 6 000 рублей; а на юридическое лицо от 20 000 до 40 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо при получении подобных запросов предоставлять на них работнику ответы.

При размещении вакансий, содержащих ограничения дискриминационного характера по полу, возрасту и другим показателям статьей 13.11.1 Кодекса РФ об административных правонарушениях предусмотрена ответственность наложение административного штрафа на должностное лицо – от 3 000 до 5 000 рублей; на юридическое лицо – от 10 000 до 15 000 рублей.

РЕКОМЕНДАЦИЯ: Необходимо проверить все размещенные вакансии на сайте организации или поданные в кадровые агентства по подбору персонала и при выявлении дискриминации скорректировать данные в них.

Не исключена административная ответственность в соответствии со статьей 13.12 Кодекса РФ об административных правонарушениях если в организации используются несертифицированные информационные систем, базы и банки данных, а также несертифицированные средства защиты информации, подлежащие обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну). Такое нарушение оценивается в размере административного штрафа на должностных лиц – от 2 500 до 3 000 рублей; на юридических лиц – 20 000 до 25 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

РЕКОМЕНДАЦИЯ: Необходимо проверить все используемые в организации информационные системы, базы и банки данных. Если данные базы подлежат сертификации, необходимо их привести в соответствие (пройти сертификацию или заменить системы на новые, соответствующие требованиям)

Помимо административной ответственности руководитель организации может быть привлечен и к уголовной ответственности, которая установлена статьей 137 Уголовного кодекса Российской Федерации. Данная ответственность может быть применена в случае незаконного сбора или распространения сведений о частной жизни работников составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

РЕКОМЕНДАЦИЯ: Необходимо проверить все размещенные вакансии на сайте организации или поданные в агентства по подбору персонала и при выявлении дискриминации скорректировать данные в них.

В данной статье указаны самые дорогие риски для руководителя организации в области персональных данных. Несмотря на то, что штрафы не сильно велики по сравнению с административными штрафами при нарушении норм трудового законодательства и норм охраны труда, стоит помнить, что при проведении проверок и назначении штрафа за выявленные нарушения работодатель обязан устранить нарушения в установленные в предписании сроки, а это приведение в соответствие законодательству документов и процедур в любом случае. Так зачем же ждать штрафов, когда все можно устранить до появления на пороге Роскомнадзора.

Автор:

Финатова Мария

Юрист-партнер

Прописана ответственность за нарушения при работе с персональными данными

1 июля вступит в силу новая редакция ст. 13.11 КоАП РФ, в которой прописана ответственность за нарушения при работе с персональными данными. За что накажут и какие штрафы придется заплатить, рассказывает эксперт.

Проверять компании будет Роскомнадзор. Порядок проверок прописан в приказе Минсвязи РФ от 14 ноября 2011 г. № 312.

Сейчас за нарушение порядка сбора, хранения, использования или распространения персональных данных максимальный штраф для юридических лиц — 10 000 рублей, для должностных — 1000 рублей.

С 1 июля все изменится. Новая редакция статьи 13.11 КоАП РФ разрастется до 7 частей — с указанием специального состава. Штрафы станут ощутимее.
С 1 июля за нарушения в области персональных данных наказывать будут за конкретные, а не за общие правонарушения.

За что и как накажут: избранные нарушения

    1. Самым «дорогим» будет штраф за обработку персональных данных без письменного согласия граждан. В согласии должны быть указаны: ФИО, адрес гражданина (сотрудника), удостоверяющий личность документ, наименование и адрес компании, цель обработки персональных данных и их перечень и проч. (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).Письменное согласие работника обязательно, например, при обработке биометрических данных и спецкатегорий персональных данных о расовой, национальной принадлежности, политических и религиозных убеждениях.Размер штрафа составит: для должностных лиц — от 10 000 до 20 000 рублей, для юридических лиц — от 15 000 до 75 000 рублей.Предполагаю, что применение ответственности будет аналогично процессу с трудовыми договорами (ст. 5.27 КоАП РФ) — за каждый неправильно оформленный документ. Покажет это первый срез инспекционной практики во второй половине 2017 года.
    2. Административной ответственности не избежать, если локальный нормативный акт (положение, регламент и проч.) по работе с персональными данными не будет размещен на сайте компании либо к нему не будет обеспечен неограниченный доступ (требования ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).В такой ситуации размер штрафа для должностных лиц составит от 3000 до 6000 рублей, для юридических лиц — от 15 000 до 30 000 рублей.
    3. Серьезные штрафы можно получить, если компания не ответит на запрос (письменный или устный) работника и не предоставит ему информацию о том, как происходит обработка персональных данных: цели, сроки обработки и хранения данных, ответственное лицо и проч. (ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).Работодателю грозит предупреждение или штраф: для должностных лиц — от 4000 до 6000 рублей, для юридических — от 20 000 до 40 000 рублей.По требованию гражданина компания должна уточнить, блокировать или уничтожить персональные данные, если они неполные, устарели, неточные, были незаконно получены, не обязательны для обработки.Неисполнение требования влечет предупреждение или наложение штрафа: для должностных лиц — от 4000 до 10 000 рублей, для юридических лиц — от 25 000 до 45 000 рублей.

Как избежать штрафов

Минимизировать риски можно, если:

    • иметь письменные согласия работников, соискателей, третьих лиц на обработку данных;
    • принять локальный нормативный акт (акты) по защите персональных данных;
    • опубликовать локальный акт (акты) на сайте компании или обеспечить к нему/ним неограниченный доступ для ознакомления;
    • зарегистрироваться в качестве оператора персональных данных;
    • иметь в штате сотрудника, ответственного за организацию работы по обработке персональных данных;
    • обеспечить законную обработку персональных данных в информационных системах;
    • защищать персональные данные от утечек и проч.

Источник: rabota.ru

Автор: Мария Финатова

Партнер юридической компании «Митрофанова и партнеры»

Мария Финатова: «Персональные данные: готовимся к проверке Роскомнадзора»

Персональные данные — одна из наиболее востребованных тем в последнее время. Интерес к ней вызван предстоящими с июля текущего года изменениями административной ответственности. Сейчас максимальный размер штрафа составляет десять тысяч рублей на юридическое лицо и одна тысяча рублей на должностное лицо – за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных.

Вышла долгожданная новая редакция статьи 13.11 Кодекса РФ об административных нарушениях.

За что накажут? Во-первых, отмечу, что новая редакция статьи разрослась до 7 частей — с указанием специального состава. То есть наказывать будут за конкретные, а не за общие правонарушения.

Проверку надлежащей обработки персональных данных будет проводить Роскомнадзор.

Порядок проведения проверок определен приказом Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N312 «Об утверждении административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Самым «дорогим» будет штраф за обработку персональных данных без письменного согласия субъекта (если такое требование предусмотрено законом), а также за неуказание в согласии обязательных условий, которые в нем должны быть в соответствии со статьей 9 федерального закона «О персональных данных» от 27.07.2006 года.

Наличие письменной формы согласия работника на обработку персональных данных обязательно, например, при обработке биометрических персональных данных и спецкатегорий персональных данных о расовой, национальной принадлежности, политических и религиозных убеждениях.

Размер административного штрафа после вступления в силу изменений будет составлять: на должностных лиц — от 10 000 до 20 000 рублей, на юридических лиц — от 15 000 до 75 000 рублей.

Предполагаю, что применение ответственности будет аналогично процессу с трудовыми договорами в соответствии со статьей 5.27 Кодекса РФ об административных нарушениях — за каждый неправильно оформленный документ. Покажет это первый срез инспекционной практики во второй половине 2017 года.

Административной ответственности точно не избежать, если локальный нормативный акт по работе с персональными данными не будет размещен на сайте компании либо к нему не будет обеспечен неограниченный доступ (речь о положениях, регламентах и других локальных актах по персональным данным, оформленным в организации).

В такой ситуации размер штрафа за нарушение статьи 18.1 федерального закона №152-Ф для должностных лиц составит от 3000 до 6000 рублей, на юридических лиц — 15000—30000 рублей.

В соответствии с законом, субъект персональных данных, будь то работник или другое лицо, вправе запросить у работодателя, как осуществляется обработка его персональных данных, и работодатель обязан предоставить эту информацию.

При невыполнении данной обязанности работодателю грозит предупреждение или наложение административного штрафа: на должностное лицо — от 4000 до 6000 рублей, на юридическое лицо — от 20000 до 40000 рублей. При этом работник может направить работодателю запрос или обратиться устно: требования к содержанию запроса установлены законодательно.

В случае, если субъект требует уточнить персональные данные, блокировать или уничтожить их, или в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными, не являются необходимыми для обработки, работодатель обязан прекратить обработку или уничтожить персональные данные. Неисполнение требования влечет предупреждение или наложение административного штрафа: на должностных лиц — от 4000 до 10000 рублей, на юридических лиц — от 25000 до 45000 рублей.

Это далеко не все нарушения, за которые предусмотрена административная ответственность. Минимизировать наказание можно, если:

  • иметь письменные согласия работников, соискателей, третьих лиц;
  • принять локальный нормативный акт или локальные нормативные акты по обеспечению защиты персональных данных;
  • опубликовать его на сайте или обеспечить к нему/ним неограниченный доступ для ознакомления;
  • зарегистрироваться в качестве оператора персональных данных;
  • иметь уполномоченного по организации обработки персональных данных;
  • обеспечить законную обработку персональных данных в информационных системах;
  • в организации должны приниматься меры по защите персональных данных при обработке.

Источник: hr.superjob.ru

Автор: Мария Финатова, партнер юридической компании «Митрофанова и партнеры»

Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов?

Роскомнадзор активно проверяет работодателей, применяя новые нормы ст. 13.11 КоАП РФ.
Параллельно ведомство дает разъяснения. Очередная порция вышла 27 июля и посвящена структуре и форме локального нормативного акта (далее ЛНА) в области обработки персональных данных.
Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

Например, ЛНА могут определять:

  • общие принципы обработки данных,
  • порядок обработки данных на бумажных носителях,
  • порядок обработки данных в информационных системах,
  • порядок хранения персональных данных,
  • порядок передачи данных,
  • порядок обработки данных должностными лицами и проч.

4. В каждый ЛНА стоит включить раздел «Общие положения».
В нем указать значение ЛНА, основные термины и понятия:

  • «персональные данные»,
  • «оператор»,
  • «обработка персональных данных»,
  • «трансграничная передача персональных данных» и проч.

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных.

5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

Что написать в ЛНА

Цели обработки персональных данных и содержание

Должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

  • использование персональных данных в информационных системах, с которыми работает компания,
  • использование данных при составлении документов,
  • передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
  • сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья).

Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ. Может быть полным и ограниченным.
При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.
При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»). Назначить можно прямым приказом работодателя или прописать должность в ЛНА. Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

  • контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
  • информировать сотрудников о новых нормах, локальных актах о персональных данных;
  • принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

В ЛНА нужно указать:

  • наименование и местонахождение третьих лиц,
  • цели передачи данных и объемы,
  • перечень действий по обработке,
  • способы обработки,
  • требования к защите данных.

Хранение персональных данных

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений).

Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

  • определение угроз безопасности,
  • обнаружение фактов несанкционированного доступа,
  • применение мер по обеспечению безопасной обработки данных,
  • защита технических средств, на которых хранятся данные,
  • установка антивирусов и проч.

«Одноразовая» обработка персональных данных

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

  • порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
  • данные, которые охрана запрашивает у гостей и вносит в журнал,
  • цели сбора и обработки данных гостей,
  • сроки обработки данных,
  • перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).
Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

Источник: rabota.ru

Автор: Мария Финатова

Партнер Группы компаний Валентины Мирофановой

Разрабатываем локальный нормативный акт по персональным данным: советы и практические рекомендации с учетом мнения Роскомнадзора

Изменения административной ответственности по персональным данным в статью 13.11 Кодекса РФ об административных правонарушениях с 1 июля 2017 года не заставило себя ждать –   органы Роскомнадзора активно ведут проверки работодателей,  применяя новые штрафы. Законодательных требований установлено достаточно много. Чтобы все соответствовало букве закона, Роскомнадзор начинает давать разъяснения в отношении проверяемых ими документов. 27 июля вышли очередные разъяснения в отношении того, какая должна быть структура и форма локального нормативного акта в области персональных данных. Несмотря на то, что разъяснения не являются нормативным правовым актом, их рекомендуется учитывать, так как при проведении проверок на это будут обращать внимание инспекторы.  Разберем обязательные условия, которые должны быть указаны в локальном нормативном акте с учетом вышедших рекомендаций.

Во-первых, локальный нормативный акт (далее – «ЛНА») утверждается уполномоченным лицом в организации, которое определяется уставом организации.

Во-вторых, такой ЛНА не требует учета мнения представительного органа работников при утверждении.

В – третьих, ЛНА может быть один, а также их может быть несколько, в зависимости от обрабатываемых работодателем  персональных данных. Законом не установлено требований к наличию нескольких ЛНА –  тем не менее,  на практике работодатели часто имеют целый свод положений по работе с персональными данными.  Например, ЛНА могут быть определяющими:

  • общие принципы обработки персональных данных;
  • порядок обработки персональных данных на бумажных носителях;
  • порядок обработки персональных данных в информационных системах;
  • порядок хранения персональных данных;
  • порядок передачи персональных данных;
  • порядок обработки персональных данных должностными лицами, непосредственно осуществляющими обработку;
  • порядок обработки персональных данных при нахождении на территории работодателя третьих лиц;
  • и др.

В – четвертых, со всеми локальными нормативными актами  по персональным данным «под роспись» должны быть ознакомлены все работники организации – об этом напрямую указано в статье 86 Трудового кодекса РФ.

В-пятых, в качестве структурных элементов рекомендуется включить раздел «Общие положения», в котором будет описываться значение ЛНА, будут указаны основные термины и понятия, используемые в ЛНА. Например, «персональные данные», «оператор», «обработка персональных данных», «трансграничная передача персональных данных». В разделе допустимо указание основных прав и обязанностей работодателя как оператора персональных данных, а также прав и обязанностей субъекта.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности. А также деятельности, которая предусмотрена учредительными документами оператора и бизнес-процессами оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

В соответствии с требованиями статьи 86 Трудового кодекса РФ и 152-ФЗ «О персональных данных» от 27 июля 2006 года необходимо определить перечень должностных лиц, имеющих доступ к персональным данным. Внутренний доступ к персональным данным бывает полный и ограниченный. При работе с полным доступом необходимо указать перечень должностей, кому он установлен, а при ограниченном доступе помимо должностей указать перечень персональных данных, к которым допущены работники, и перечень действий с ними с указанием целей обработки.

Не стоит забывать про уполномоченного за организацию обработки персональных данных, который также должен быть назначен в соответствии с требованиями части 2 статьи 18.1 152-ФЗ «О персональных данных» от 27 июля 2006 года. Должность данного лица может определяться как ЛНА, так и через приказ работодателя.

Содержание и объем обрабатываемых и указываемых в ЛНА персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При указании субъектов, чьи персональные данные обрабатываются  – работники, бывшие работники, соискатели, родственники работников, клиенты, контрагенты оператора (физические лица), представители/работники клиентов и контрагентов оператора (юридических лиц) –  рекомендуется применительно к конкретным целям, с которыми осуществляется обработка указанных категорий персональных данных,  перечислить все обрабатываемые оператором персональные данные.  А также отдельно описать все случаи обработки специальных категорий персональных данных (расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрических персональных данных, если такая обработка осуществляется.

Помимо описания внутреннего доступа необходимо прописать и внешний доступ к персональным данным. При взаимодействии с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом указывать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Также должны быть описаны меры, необходимые и достаточные для обеспечения выполнения обязанностей по соблюдению требований к конфиденциальности персональных данных – в соответствии с требованиями, определенными статьями 18.1 и 19  ФЗ «О персональных данных» от 27 июля 2006 года, к которым относится определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных – их  исполнение обеспечивает установленные уровни защищенности персональных данных и др.

Особое внимание следует уделить закреплению порядка хранения персональных данных и документов, их содержащих. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных. Кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных. Рекомендуется указывать сроки хранения и порядок хранения персональных данных в информационных системах и на бумажных носителях с учетом установленного доступа должностных лиц, к персональным данным.

Базы данных, содержащих персональные данные работников, должны в обязательном порядке находиться на территории Российской Федерации. В связи с чем указание места нахождения используемых баз персональных данных рекомендуется указывать в ЛНА.

Порядок исправления, удаления, уничтожения обрабатываемых персональных данных должен быть предусмотрен в ЛНА с указанием порядка действий оператора при поступлении запроса, требования или отзыва согласия на обработку персональных данных от работников и иных субъектов персональных данных – в каждом случае.

Рекомендуется включить в ЛНА способы реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

При ведении в бумажном виде журнала или журналов однократного пропуска на территорию, где находится оператор, содержащий персональные данные, необходимо в ЛНА закрепить цели обработки персональных данных, фиксацию и состав информации, запрашиваемой у субъектов персональных данных. Перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор. Данное требование установлено в Постановлении Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”.

Наконец, ЛНА по работе с персональными данными должен быть опубликован или к нему иным образом должен быть обеспечен неограниченный доступ. Выполнение данного требования обеспечивается через публикацию ЛНА на сайте компании (при наличии сайта) либо его размещение на внутреннем портале оператора, стенде в организации или иным способом, позволяющим обеспечить неограниченный доступ к документу.

Источник: irbis-group.ru

Автор: Мария Финатова

Партнер Группы компаний Валентины Мирофановой

Как не нарушить закон и какие документы оформить при обработке персональных данных работников по программам страхования ДМС

Добровольное медицинское страхование — часть социального пакета, который работодатель предлагает сотрудникам, чтобы мотивировать их. Работник может отказаться от услуги.

Если сотрудник решит участвовать в корпоративной программе ДМС, то эйчару нужно получить письменное согласие на обработку его персональных данных (п. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

В согласии укажите: 

  • ФИО и адрес сотрудника, данные удостоверяющего личность документа (номер, дата получения, выдавший орган).
  • Наименование и адрес работодателя.
  • Цель обработки данных (страхование по программе ДМС).
  • Перечень данных, на обработку которых сотрудник дает согласие (ФИО, семейное положение и проч.).
  • Наименование и адрес страховой компании, которая будет обрабатывать персональные данные сотрудников по поручению работодателя (в рамках программы ДМС).
  • Действия с персональными данными, на которые сотрудник дает согласие (хранение, передача и проч.). Способы обработки данных.
  • Срок действия согласия на обработку данных, способ его отзыва.
  • Подпись сотрудника.

Сотрудник также может оформить полис ДМС на близких родственников. Согласие родственников на вступление в программу и заключение договора страхования не обязательно.

Данные родственников сотрудника будут указаны в договоре ДМС, работодатель будет их обрабатывать, но в такой ситуации письменное согласие родных сотрудника на обработку данных разрешено не оформлять (п. 5, ч. 1, ст. 6 закона № 152-ФЗ).

Источник: rabota.ru

Автор: Мария Финатова

Партнер юридической компании «Митрофанова и партнеры»

Грядет изменение требований к обработке персональных данных соискателей

В последнее время тема персональных данных набирает обороты, так как близится дата, с которой Роскомнадзор будет проводить проверки документов по-новому, с применением ужесточенных санкций по статье 13.11 КоАП РФ – 1 июля 2017 года. Одной из важных тем по персональным данным является тема, касающаяся обработки персональных данных соискателей.

Вопрос: Требуется ли согласие кандидата на обработку/защиту его персональных данных, если резюме было опубликовано в открытом доступе? Как технически можно это согласие получить? Достаточно ли сканированной копии, полученной по электронной почте или все же нужен оригинал? Какие основные моменты должны быть отражены в согласии? 

Ответ: Если резюме было размещено в открытом доступе и работодатель не начал обработку персональных данных, то согласие на обработку не требуется.  Под обработкой  следует понимать любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными – включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (выписка представлена ниже).

Но как только резюме сохраняется или распечатывается – начинается процесс обработки, перед началом которого должно быть получено согласие от кандидата.

Если есть возможность получить согласие от кандидата в сканированной копии либо непосредственно из его рук (когда он придет на собеседование) то нарушений со стороны работодателя не будет. К сожалению, заполнение электронной формы согласия кандидата и направление  Вам не сильно защищает интересы работодателя.  Такие соглашения нарушают главное условие  – проставление подписи и  возможны только если у кандидата есть электронная цифровая подпись.

Без наличия подписи согласие считается неправомерным. В зависимости от вида обрабатываемых персональных данных для некоторых категорий (например, биометрический и специальный) установлено обязательное требование – ПИСЬМЕННАЯ форма.

 

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных”

 

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 

В любом согласии на обработку персональных данных должны быть указаны следующие условия (статья 9 вышеуказанного Федерального закона п. 4):

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным согласию кандидата в письменной форме на бумаге признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме на обработку  персональных данных субъекта должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Вопрос: При размещении вакансии на сайте компании, указан адрес электронной почты ответственного лица. У кандидатов имеется возможность присылать напрямую свои резюме. При таком подходе, требуется какое-то согласие? Или необходимо разместить какую-то информацию, связанную с обработкой/защитой персональных данных на самом сайте?

Ответ: При получении персональных данных субъекта сначала должно быть получено согласие на обработку, а потом уже начата обработка.  Электроннпя формы согласия, которую кандидаты будут заполнять прямо на сайте и направлять перед отправкой резюме работодателю, должна соответствовать требованиям статьи 9 152-ФЗ «О персональных данных» от 27.07.2006. При получении такого согласия теряется главный реквизит, точнее он просто не проставляется, так как это технически сложно сделать – подпись субъекта.

С  1 июля за использование ненадлежащей формы согласия на обработку персональных данных будет применяться новая административная ответственность – выписка приведена ниже.

КоАП РФ

 

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (извлечение)

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение административного штрафа

на граждан в размере от 3 000 до 5 000 рублей;

на должностных лиц – от 10 000 до 20 000 рублей;

на юридических лиц – от 15 000 до 75 000 рублей.


Вопрос: Если кандидата на собеседование не пригласили, должны ли мы его дополнительно уведомлять о «судьбе его ПНд». Варианты могут быть следующие: его данные остаются в базе резюме или подлежат уничтожению?

Ответ: Обязанности по сообщению кандидатам о судьбе их ПНд закон не устанавливает, однако следует учитывать, что если работодатель начал обработку, то должно быть получено согласие по установленной законом форме, в котором кандидат указал срок возможной обработки его персональных данных и период хранения соответственно.  Будут ли они уничтожаться или находиться в базе работодателя зависит от того, что указано в самом согласии.

Кандидат вправе запросить у работодателя информацию о продолжении или осуществлении обработки его персональных данных – при этом работодатель обязан будет ему ответить. Соискатель также может попросить заблокировать, удалить свои персональные данные на бумажных носителях и в информационных системах.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.

Вопрос: При работе с кадровыми агентствами очевидно, что первичная обработка персональных данных происходит в агентстве – далее данные пересылаются работодателю. Нужно ли работодателю подписывать согласие об обработке/защите персональных данных с кандидатом?

Ответ: Все зависит от перечня персональных данных, целей и действий с ними. Если кандидат к Вам не приходит, а Вы только получаете его резюме или анкету, которую Вам пересылает агентство, то согласие от кандидата Вам получать ненужно. Так как оператор  уже получил необходимое согласие, а условие о передаваемых Вам от агентства персональных данных и режиме конфиденциальности должно быть прописано в договоре межу Вами и агентством.

Если же кандидат пришел к Вам на собеседование – теперь Вы становитесь  оператором и  обязаны получить согласие от кандидата. Так как цели, перечень действий и сами обрабатываемые персональные данные будут отличаться от тех, которые запрашивало кадровое агентство.

Источник: irbis-group.ru

Источник: hr.superjob.ru

Автор: Финатова Мария
Партнер юридической компании «Митрофанова и партнеры»

Как правильно хранить копии документов работников, содержащих их персональных данные?

От того насколько правильно осуществляется обработка персональных данных зависит вероятность привлечения работодателя к административной ответственности, а учитывая ужесточение санкций с 01.07.2017 Роскомнадзор будет уже применять новые размеры штрафов в соотвествии со статьей 13.11 КоАПа РФ.

Говорить о том, как правильно осуществлять обработку персональных данных можно бесконечно, так как тонкостей в этом вопросе превеликое множество, поэтому остановимся на том можно ли осуществлять обработку персональных данных работников, находящихся в копиях документов, хранящихся в личных делах работников?

Большинство организаций в личных делах или личных папках своих работников хранят копии паспортов, свидетельств о рождении, регистрации брака, документов, подтверждающих образование, копии ИНН и т.д. Очень часто такой порядок хранения признается незаконным, не столько с точки зрения нарушений требований архивного законодательства, сколько с точки зрения нарушения требований по персональным данным. При проведении проверок очень часто хранение копий страниц паспорта признается незаконной обработкой персональных данных в них содержащихся.

В соответствии с частью 5 статьи 5 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В действующем законодательстве Российской Федерации объем и содержание обрабатываемых персональных данных работника определен в ряде нормативно-правовых документов. При этом основным документом является Трудовой кодекс Российской Федерации. Согласно статье 86 Трудового кодекса Российской Федерации, в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами.

Статья 65 Трудового кодекса Российской Федерации не определяет перечень персональных данных, которые должны храниться и обрабатываться работодателем в процессе трудовой деятельности работника, определен только перечень документов, которые работник предъявляет при заключении трудового договора. К ним относятся: паспорт или иной документ, удостоверяющий личность; трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства; страховое свидетельство государственного пенсионного страхования; документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу; документ об образовании, о квалификации или наличии специальных знаний -при поступлении на работу, требующую специальных знаний или специальной подготовки; справка о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, – при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.

В статье 65 Трудового кодекса РФ указано, что запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

Трудовой Кодекс Российской Федерации предусматривает какие документы должны быть у работодателя. В частности, в ним относятся: трудовой договор (статья 57 ТК РФ). Согласно ТК РФ в трудовом договоре указываются следующие персональные данные работника: фамилия, имя, отчество работника; сведения о документах, удостоверяющих личность работника; трудовая книжка (статья 66 ТК РФ); приказ (распоряжение) работодателя о приеме на работу (статья 68 ТК РФ) и т.д.

Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Само хранение копий страниц паспорта по сути является превышением объема обрабатываемых персональных данных работников.

Статья 5 п. 6 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» устанавливает требование, что при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных и работодатель должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.

Использование копий страниц паспорта не может обеспечить точность и актуальность персональных данных. Только сам паспорт является источником достоверной информации. В то же время, если у работодателя есть согласие от работника на обработку его персональных данных, содержащихся в копиях его документов и прописан порядок использования и хранения этих персональных данных нарушением это являться не будет.

Таким образом, для соответствия требованиям законодательства и осуществления хранения нужных работодателю документов, содержащих персональных данные работников необходимо сначала получить правильное согласие на обработку персональных данных от самих работников, тем более что с 01.07.2017 новая административная ответственность напрямую касается содержания форм согласия на обработку персональных данных.

Новые штрафные санкции за нарушение законодательства в области обработки персональных данных

С 01.07.2017 года вступает в силу Федеральный закон от 07.02.2017 года № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»  (далее Федеральный закон). В частности, данный закон внес изменения в статью 13.11 КоАП РФ и значительно дифференцировал ее по возможным составам правонарушения и размерам административного штрафа.

Теперь с начала второго полугодия 2017 года организации, и должностные лица будут нести административную ответственность за:

  • обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо за обработку персональных данных, несовместимую с целями;
  • обработку персональных данных без письменного согласия субъекта персональных данных на обработку в случаях, когда такое согласие должно быть получено;
  • невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных;
  • невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
  • невыполнение оператором в установленные сроки требования об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • невыполнение оператором обязанности по соблюдению условий, обеспечивающих сохранность персональных данных;
  • невыполнение оператором, являющимся государственным или муниципальным органом обязанности по обезличиванию персональных данных.

Размер штрафных санкций по данным нарушениям устанавливается так же различный и варируется на должностных лиц от 5 до 20 тысяч рублей, а на организацию от 30 до 75 тысяч рублей. При этом, обратите внимание, что наказание будет назначаться по каждому составу нарушения отдельно и в совокупности штраф может достигать несколько сотен тысяч рублей.

Для сравнения действующая редакция статьи 13.11 КоАП РФ предусматривает единый состав административного правонарушения за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) с штрафными санкциями в размере на должностных лиц – от пятисот до одной тысячи рублей, а на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Так, что пока еще есть немного времени для исправления ситуации и приведения процедуры обработки персональных данных в Вашей организации в соответствие с требованиями действующего законодательства РФ.

Автор: Руководитель направления по трудовым спорам Департамента трудового права Елисеенков Д.В.