Обработка персональных данных работодателем
I. Данные, которые подлежат обработке, цель и срок.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных п.2 ст.5 ФЗ «О ПД»
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В силу ст.88 ТК РФ, при передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Таким образом, согласие на обработку персональных данных должно содержать:
1. Цель обработки;
2. Содержание и объём обрабатываемых данных;
3. Точность, достаточность и актуальность;
4. Срок обработки. Если трудовой договор заключен без срока, то согласие бессрочное, если трудовой договор имеет срок действия, то согласие на обработку ПД заканчивается по окончании срока действия трудового договора.
II. Обязанность работодателя предупреждать об обработке персональных данных
Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) - Управление по защите прав субъектов персональных данных.
Пунктом 1 части 2 статьи 22 Закона от 27.07.2006 № 152-ФЗ предусмотрено, что обработка персональных данных исключительно в рамках трудового законодательства не требует уведомления Роскомнадзор со стороны работодателя. Таким образом, информация, полученная от сотрудника при приеме на работу для заключения трудового договора может обрабатываться без ведома вышеуказанного ведомства. Однако, о передаче данных в ПФР, налоговую, банк, военкомат работодатель обязан уведомить Роскомнадзор.
Таким образом, организация должна направить вРоскомнадзор уведомление об обработке персональных данных сотрудника. Сделать это можно на сайте ведомства посредством электронного уведомления либо путем заполнения бумажного уведомления и направления его в территориальное ведомство.
Если компания сменила наименование или прекратила обрабатывать персональные данные, об этом тоже нужно сообщить в срок не позднее 10 рабочих дней.
Условия передачи персональных данных сотрудника:
1. Получить письменное согласие на обработку, а также на передачу персональных данных работника;
П.1 ст.10.1 ФЗ «О ПД» установлено, с огласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
При этом, не нужно согласие на распространение ПД работника, чтобы передать информацию о нем:
1. госорганам, чтобы выполнить свои обязанности;
2. третьим лицам в экстренной ситуации;
3. банку, чтобы оформить зарплатную карту;
4. профсоюзу в рамках его компетенции;
5. третьим лицам в связи с исполнением работником должностных обязанностей.
1. Так, работодатель может не получать согласие, поскольку обязан передать данные:
1. в Пенсионный фонд и Фонд социального страхования (п. 3 ч. 2 ст. 12 Федерального закона от 16 июля 1999 г. № 165-ФЗ «Об основах обязательного социального страхования», далее – Закон о соцстраховании; абз. 2 ч. 2 ст. 15 Федерального закона от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», абз. 4 п. 2 ст. 14 Федерального закона от 15 декабря 2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», абз. 3 п. 4 разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»; далее – Разъяснения Роскомнадзора);
2. в налоговые органы (п. 4 ч. 3 ст. 24 НК, п.2 ст. 12 Закона о соцстраховании, абз. 5 п. 4 Разъяснений Роскомнадзора);
3. в военкоматы (ст. 4 Федерального закона от 28 марта 1998 г. № 53-ФЗ «О воинской обязанности и военной службе», абз. 5 п. 4 Разъяснений Роскомнадзора).
2. Работодатель обязан ответить на запрос суда, правоохранительного или иного госоргана (п. 3–4 ч. 1 ст. 6 Закона о персональных данных).
Так, работодатель должен передать данные по запросу:
· органов прокуратуры (п. 1 ст. 22 Федерального закона от 17 января 1992 г. № 2202-1 «О прокуратуре Российской Федерации», абз. 7 п. 4 Разъяснений Роскомнадзора);
· правоохранительных органов и ФСБ (ст. 6 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», п. 4 ч. 1 ст. 13 Федерального закона от 7 февраля 2011 г. № 3-ФЗ «О полиции», п. «м» ч. 1 ст. 13 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О Федеральной службе безопасности», абз. 7 п. 4 Разъяснений Роскомнадзора);
· государственного инспектора труда (абз. 3 ч. 1 ст. 357 ТК,абз. 7 п. 4 Разъяснений Роскомнадзора);
· суда (ст. 57 ГПК, ст. 66 АПК);
· судебного пристава (ст. 64 Федерального закона от 2 октября 2007 г. № 229-ФЗ «Об исполнительном производстве»).
2. Выполнить обязанности по отношению к лицам, которые получают персональные данные
Работодатель обязан: предупредить лиц, которые получают персональные данные сотрудника, о том, что эти данные можно использовать лишь в целях, для которых их сообщили. Работодатель обязан требовать от этих лиц подтверждение, что это правило соблюдено.
Лица, которые получили данные, обязаны соблюдать режим секретности.
Такие правила установил абзац 4 статьи 88 ТК.
3. Ознакомить сотрудника с правилами передачи
Работодатель должен:
1. передавать персональные данные сотрудника в пределах одной организации или у одного индивидуального предпринимателя;
2. издать локальные нормативные акты (положение о работе с ПД);
3. ознакомить с ними сотрудников под роспись.
4. Ограничить доступ к данным
Работодатель должен разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам. Эти лица вправе получать те персональные данные сотрудника, которые необходимы для выполнения конкретных функций. Руководитель перечисляет этих лиц в приказе об установлении списка лиц, имеющих доступ к персональным данным работников.
Такие правила установили абзацы 6 и 8 статьи 88 ТК.
5. Не запрашивать сведения о состоянии здоровья сотрудника.
Закон запрещает работодателю запрашивать информацию о состоянии здоровья сотрудника (абз. 7 ст. 88 ТК). Исключение – сведения о возможности выполнять трудовую функцию.
Уничтожение или обезличивание данных .
По общему правилу работодатель обязан уничтожить либо обезличить персональные данные, когда достигнет целей обработки или потеряет интерес к этой цели.
Для уничтожения ПД необходимо:
1. создать комиссию по уничтожению персональных данных сотрудников;
2. утвердить акт об уничтожении персональных данных сотрудников и соискателей.
Таким образом, действия работодателя сводятся к следующему:
I. Уведомить Роскомнадзор
II. Со стороны сотрудников подписать :
Согласие на обработку персональных данных;
Согласие на передачу персональных данных;
Подписать положение о работе с ПД.
III. Со стороны организации:
Назначить ответственных лиц за обработку ПД (приказ);
Подписать обязательство о неразглашении ПД Сотрудников ответственным лицом;
Подписать положение о работе с ПД.