Рекомендуется не объединять папки персонала в папки сотрудников. Позиция Роскомнадзора и судов не является однозначной, и личные дела считаются ненужными там, где предусмотрена их обработка.
Персональные данные сотрудников
Сотрудники отдела кадров используют личные данные работников организации. Они получают, обрабатывают, хранят и передают информацию. Работа с этой информацией регулируется законом (Трудовой кодекс Российской Федерации и Федеральный закон № 152-ФЗ «О персональных данных»). Чтобы избежать нарушений и штрафов, вам необходимо знать правила обработки персональных данных.
Статья 3 № 152-ФЗ Закона № 152-ФЗ гласит, что персональные данные — это информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Это следующая информация, относящаяся к человеку
- Ф. И. О.;
- пол;
- дата рождения;
- место рождения;
- фотография или видеозапись, которая позволяет установить личность;
- адрес;
- семейное положение, информация о детях и родственниках;
- образование, квалификация, сведения о повышении квалификации;
- профессия;
- факты биографии и трудовой деятельности;
- доходы,сведения о зарплате;
- деловые и иные личные качества.
Приведенный выше перечень информации является открытым и дополняется необходимой информацией. Персональные данные нужны работодателям для оформления и поддержания трудовых отношений (см. статью 85 Трудового кодекса РФ). Информацию о сотрудниках можно найти в этих документах.
- анкета, автобиография заполненная при приеме на работу;
- трудовой договор;
- документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
- личная карточка № Т-2;
- трудовая книжка и сведения о трудовой деятельности (СТД-Р, СТД-ПФР, СЗВ-ТД);
- свидетельства о браке, о рождении детей;
- СНИЛС;
- военный билет;
- документ об образовании;
- ИНН;
- водительское удостоверение;
- медицинская книжка (если требуется);
- справка о доходах с прошлого места работы.
Важно: личные данные сотрудников являются конфиденциальными. Это означает, что она не должна передаваться без письменного согласия работника (ст. 3 Закона № 152-ФЗ).
Обработка персональных данных сотрудника
Под обработкой персональных данных понимаются действия с персональными данными работника при приеме работодателем на работу или при заключении трудового договора при продвижении работника по карьерной лестнице. При обработке соблюдаются требования статьи 5 Закона о персональных данных.
- у обработки должны быть конкретные и законные цель и основание;
- нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
- обрабатывать можно только те данные, которые соответствуют цели обработки;
- форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
- запрещена передача личных сведений работника третьим лицам без его письменного согласия;
- персональные сведения передает сам гражданин.
Работодатель должен действовать в соответствии с законом и другими нормативными актами, чтобы помочь работнику в найме, обучении, продвижении по службе, обеспечении безопасности, управлении трудовыми ресурсами и сохранности имущества компании. Работодатели могут получать персональные данные только от сотрудников, но если они могут быть получены от третьих лиц, сотрудники должны быть проинформированы и получено письменное согласие.
Работодатели обязаны обеспечить защиту персональных данных. Поэтому положения о защите персональных данных работников должны быть предусмотрены в локальном акте компании. Сотрудники должны ознакомиться с правилами и подписать письменное согласие. Чтобы обезопасить вас, необходимо разработать регламент и приказы по обработке персональных данных. На момент проведения аудита вы должны подготовить Положение о персональных данных, согласие на обработку персональных данных работников, приказ о назначении сотрудника для управления персональными данными работников и приказ о персональных данных работников.
С 1 сентября 2021 года требование о согласии на обработку персональных данных стало доступным для распространения. В нем должна быть указана следующая информация (приказ Роскомнадзора от 24.02.2021 № 18):.
- Ф.И.О. субъекта;
- контактная информация;
- сведения об операторе (организации, физлице, ИП);
- сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дано согласие;
- категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
- условия передачи полученных персональных данных;
- срок действия согласия на обработку.
Работодатель является лицом, которому необходимо это согласие. Если возникнет вопрос, он обязан доказать, что дал согласие на обработку. Это обязательно требуется, если, например, данные передаются третьим лицам для обработки определенных категорий данных, например, для предотвращения угрозы жизни или здоровью.
Категории персональных данных
Согласно указаниям Роскомнадзора, все категории персональных данных можно разделить на три категории
Персональные данные — информация, относящаяся прямо или косвенно к идентифицированному или поддающемуся идентификации физическому лицу. Сюда входят имя, дата рождения, адрес, номер телефона, семейное положение, предыдущее место работы и т.д.
Специальные категории — раса и нация, политические взгляды, религия, состояние здоровья, личная жизнь.
‘Персональные биометрические данные — это информация, которая описывает физиологические и биологические характеристики человека и позволяет идентифицировать его.
‘Содержание и объем обрабатываемых персональных данных должны соответствовать заявленной цели обработки. Обрабатываемые персональные данные не должны быть чрезмерными по отношению к назначенной цели обработки».
Понятие персональных данных и правовое регулирование
Защита персональных данных регулируется Законом о защите персональных данных. 152-ФЗ от 27 июля 2006 года.Статья 3(1) определяет термины.
‘Персональные данные — это информация, которая прямо или косвенно относится к идентифицированному или определяемому лицу, т.е. субъекту персональных данных’.
Однако закон не уточняет, какой тип информации считается персональной. Нет ответа и на один из самых распространенных вопросов: является ли полное имя персональными данными?
Неоднозначное определение частично разъясняется методическими рекомендациями по инициированию обработки персональных данных и уведомлению уведомительного органа об изменениях в уже представленной информации, как это разрешено приказом №. 94 Роскомнадзора от 30.05.2017.
В соответствии с разделом 2.5 вышеупомянутого документа, к персональным данным относятся
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит лишь примерный перечень и указывает, что иная информация, относящаяся к предмету рассмотрения, также является персональными данными.
Иные персональные данные
В дополнение к вышесказанному, руководство предоставляет два других вида информации, относящейся к персональным данным
- Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
- Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.
Особенности отнесения некоторой информации к личной
Поскольку не существует нормативного документа, в котором приведен полный перечень персональных данных, относящихся к физическим лицам, важно определить критерии для понимания того, является ли информация персональной.
Основные критерии изложены в уже упомянутых пунктах. Статья 3, пункт 1 Закона 152-ФЗ. такая информация считается персональными данными, если она позволяет определить, кому она принадлежит.
Кроме того, закон (статья 3, пункт 9 закона 152-ФЗ) вводит понятие персонализации персональных данных. Это означает, что такое действие должно быть предпринято в отношении персональных данных, после чего становится невозможным идентифицировать лицо, которому они принадлежат. Таким образом, персональные данные — это информация, которая может прямо или косвенно идентифицировать человека.
В этом случае давайте более подробно рассмотрим вопрос о классификации определенных типов данных как персональных данных.
Номер телефона
Чтобы понять, является ли номер телефона персональными данными, см. закон «О связи» от 7 июля 2003 года № 126-ФЗ. Согласно статье 53.1 этого закона, имена граждан и абонентские номера являются информацией ограниченного доступа. Эта информация защищена законом, в том числе Законом о персональных данных.
Также запрещено предоставлять идентифицирующую информацию без согласия абонента.
Таким образом, можно сделать вывод, что телефонные номера, принадлежащие физическим лицам, представляют собой косвенную информацию о конкретном лице в соответствии со Статьей 3(1) Закона 152 и с учетом положений Статьи 53(1) соответственно. 126 Закона, номер телефона может рассматриваться как персональные данные, если по номеру можно определить его принадлежность. Конечно, это невозможно сделать с помощью серии чисел. Поэтому, если нет комбинации телефонного номера с именем или другими данными, нельзя говорить о том, что телефонный номер является персональными данными.
Электронная почта
Ответ на вопрос о том, является ли электронное письмо личной данностью, не столь однозначен, поскольку он не регулируется на законодательном уровне. Как правило, адрес электронной почты не является персональным, если нет другой информации о человеке, которому принадлежит письмо.
Однако необходимо учитывать и сам адрес, который может содержать возраст, имя, дату рождения, место рождения и другую информацию о владельце (Ivanivanov1986@moskva.ruなど). В этом случае адрес электронной почты указывается персональный.
Как правило, персональные данные централизованы. Например, при регистрации на сайте пользователь вводит свое имя, а также адрес электронной почты. В этом случае собранная информация может быть однозначно классифицирована как персональные данные, поскольку вся информация может быть использована для идентификации человека.
ИНН, СНИЛС, паспортные данные
Что касается упомянутой информации, то ответ очевиден. Они относятся непосредственно к человеку и поэтому подлежат защите в соответствии с Законом о персональных данных. Данный вывод также подтверждается судебной практикой, например, Апелляционным судом Московского суда по делу №. 33-35747 от 20.10.2014.
Номера олова, Сунила и паспортные данные, несомненно, идентифицируют конкретного человека.
Итоги
Поэтому, хотя закон и дает определение персональных данных, он не предоставляет их исчерпывающий перечень, что вызывает множество вопросов как со стороны персональных данных, так и со стороны обработчиков. Однако закон содержит критерии для определения того, являются ли персональные данные персональными. Этот критерий — вероятность того, что данная информация идентифицирует человека, к которому она относится.
Более подробную информацию по этому вопросу можно найти на сайте КонсультантПлюс. Тестовый бесплатный доступ к системе в течение двух дней.
Если вы намерены получить информацию о человеке от третьей стороны, например, рекомендации с предыдущей работы или сведения о судимости, мы получим ваше согласие.
Что такое обработка персональных данных?
Составление персональных данных — это любые действия с использованием персональных данных, такие как сбор, запись, организация, хранение, накопление, уточнение (обновление, изменение), экспорт, использование, передача (распространение, предложение, предоставление), обезличивание, исключение, удаление, уничтожение или уничтожение. .
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Примеры показывают, что ПДС могут храниться как на бумажных, так и на электронных носителях.
Кто такой оператор персональных данных?
Физические лица, предприниматели, компании, государственные и местные органы власти и организации, работающие с персональными данными.
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Какие условия обязан соблюдать оператор при обработке персональных данных?
Основным требованием является ваше согласие. В то же время раздел 6 Закона о персональных данных устанавливает, когда операторы могут обрабатывать персональные данные без вашего согласия.
- в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
- в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
- в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
- для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
- в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти 1 ;
- для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.
Например, вы заключили договор с брокером, который ищет покупателя на вашу квартиру. Брокер должен знать ваши личные данные, такие как ваше имя, контактный номер телефона и адрес электронной почты. Они используют эти данные для предоставления вам услуг и не нуждаются в вашем согласии на обработку этих данных. Если брокер хочет отправить вам рекламные материалы, которые не связаны с оказанием услуг по договору, вы должны получить согласие на обработку данных в рекламных целях.
Представьте, что вы нашли трех друзей, которые родились в один день с вами. У вас одинаковая дата рождения, одинаковый пол, и по закону вы можете изменить свое имя, приложив некоторые усилия. Вы становитесь четырьмя одинаковыми людьми. Является ли набор «имя + дата рождения + пол» персональными данными?
Обработка персональных данных
Обработка персональных данных должна осуществляться с согласия субъекта данных. Это предварительное согласие может быть отозвано без дополнительных условий. Получение согласия по телефону или с помощью текстового сообщения не требуется по закону. Перечень исключений из требования о согласии на обработку данных определен законом.
-Обработка персональных данных необходима для достижения целей, предусмотренных международными конвенциями или законодательством.
-Обработка осуществляется в связи с участием лица в судебном процессе, что необходимо для исполнения судебного акта.
-обработка необходима для осуществления полномочий государственных органов, и
-необходимые для заключения или исполнения договора договаривающейся стороной, бенефициаром или гарантом, если субъект данных является договаривающейся стороной
-необходимо для защиты жизни, здоровья или других жизненно важных интересов лица, если согласие не может быть получено; -необходимо для защиты прав и интересов субъекта данных
-для осуществления прав и законных интересов оператора (юридического или физического лица, обрабатывающего данные) или третьих лиц, или для достижения общественно важных целей
-для журналистской и/или медийной профессиональной деятельности, научной, литературной или иной творческой работы
-для статистических или исследовательских целей, при условии обязательной персонализации персональных данных
-Данные находятся в открытом доступе (справочники, адресные книги и т.д.)
-Данные подлежат публичному или обязательному раскрытию в соответствии с федеральным законодательством.
Данные могут обрабатываться работодателями, финансовыми учреждениями, интернет-магазинами, медицинскими центрами и т.д., если субъект данных дал на это разрешение. После достижения результатов, для которых собирались данные, оператор теряет юридическую возможность их использования и несет ответственность за любое преднамеренное разглашение.
Нарушения в отношении персональных данных
Российское законодательство предусматривает различные виды ответственности (дисциплинарную, административную и уголовную) за нарушение правил, регулирующих работу с персональными данными. Наиболее распространенными нарушениями являются
-неполучение согласия гражданина на обработку его/ее персональных данных; -неполучение согласия гражданина на обработку его/ее персональных данных
-Неполучение согласия на передачу персональных данных третьим лицам для обработки
-неполучение согласия на трансграничную передачу персональных данных (за исключением России), -неполучение согласия на передачу персональных данных третьей стороне для обработки
-Если вы не получили согласия на обработку персональных биометрических данных; -Если вы не получили согласия на обработку персональных биометрических данных
несоблюдение правил и требований к обработке персональных данных (например, хранение, передача, защита, уничтожение).