Что такое персональные данные
Персональные данные (ПД) — это любые сведения или факты о человеке, по которым можно прямо или косвенно установить его личность. В законе нет перечня, какие сведения относятся к персональным данным. Поэтому мы приводим примерный список, который вы можете сокращать или расширять:
- Ф. И. О.;
- пол, возраст или дата рождения;
- образование, профессия, квалификация;
- адрес проживания и номер телефона;
- семейное положение, наличие детей;
- факты биографии;
- ссылка на персональный сайт или профиль в социальной сети;
- фотографии и видеоматериалы, по которым можно установить личность человека.
Важно: без согласия работника нельзя хранить и распространять сведения о нем.
Например, на сайте опубликован обезличенный номер телефона, и непонятно, кому именно он принадлежит — это не нарушает закона о персональных данных. Но если на сайте опубликованы фамилия сотрудника, его должность и контакты для связи, руководителю необходимо получить согласие работника на публикацию этих сведений.
Операторы персональных данных. Если обычный человек, ИП, организация, учреждение органов власти собирают, обрабатывают и хранят ПД — они автоматически становятся операторами персональных данных. Интернет-магазин, на сайте которого пользователь добровольно вводит сведения о себе (имя или логин, адрес электронной почты или телефон, адрес для доставки товара), становится оператором ПД.
Работодатели тоже считаются операторами персональных данных, потому что они собирают, хранят и распространяют личные сведения о сотрудниках.
Когда нужно получить согласие на распространение
С 1 марта 2021 года закон о персональных данных изменился. До нововведения операторы писали общий текст согласия на хранение, обработку и распространения ПД. Если работник подписывал такой документ — работодатель мог распоряжаться сведениями о сотрудниках по своему усмотрению: опубликовать на сайте или в СМИ, передать партнерам. Сейчас ужесточились требования к форме согласия — в документе нужно прямо и недвусмысленно указать перечень данных, которые планируете распространять. Это требование касается компаний, которые предоставляют сведения о сотруднике неопределенному кругу лиц или передают третьим лицам.
Распространение сведений неопределенному кругу лиц. Если личные сведения сотрудника могут стать публичными, — работодатель обязан оформить согласие на их распространение. Например, согласие необходимо получить, если организация:
- публикует на сайте сведения о сотрудниках;
- в СМИ, социальных сетях или на корпоративном сайте дает ссылки на аккаунты сотрудников;
- использует личный телефон сотрудника в рекламных материалах.
Передача сведений третьим лицам. Если работодатель передает личные сведения о работнике третьим лицам, необходимо получить согласие на обработку и распространение ПД. Рассмотрим три рабочих ситуации, связанных с передачей данных.
- Кладовщик отправил грузчика получить товар и выдал доверенность, в которой указаны паспортные данные работника.
- Руководитель заключил со страховщиками договор ДМС и вписал в полис сведения из паспорта сотрудника.
- Бухгалтер передала кредитному менеджеру сведения о должности и зарплате сотрудника, его банковские реквизиты.
Во всех этих ситуациях сведения о сотрудниках переходят третьим лицам, поэтому необходимо получить согласие на распространение ПД.
Когда не нужно брать согласие на распространение
Работодатель может не брать у сотрудников согласие на распространение данных, которые запрашиваются по трудовому законодательству. Эта информация нужна, чтобы начислять зарплату, заполнять трудовые книжки и отчитываться в различные фонды. Например, не нужно получать согласие на хранение сведений, которые попадают в личную карточку работника:
- паспортные данные;
- трудовая книжка;
- свидетельство о пенсионной страховке — СНИЛС;
- диплом или другие документы, подтверждающие образование и квалификацию;
- документы воинского учета — для лиц, которых могут призвать в армию.
Кроме того, есть ряд государственных учреждений, куда работодатель может передавать персональные данные без согласия сотрудника:
- полиция и прокуратура;
- ФСС и ПФР;
- налоговая инспекция;
- медицинские организации;
- суд и служба судебных приставов.
Во всех остальных случаях необходимо получить согласие сотрудника.
Как составить согласие на распространение
Можно оформить бумажный или электронный документ. Унифицированной формы согласия нет, но Роскомнадзор перечислил сведения, которые необходимо внести в согласие:
- Ф. И. О. сотрудника;
- контакты сотрудника (номер телефона, домашний адрес, email);
- наименование, адрес, ИНН и ОГРН работодателя;
- сервер, домен или имя файла веб-страницы, на которой будут опубликованы персональные данные сотрудника;
- цель обработки ПД;
- перечень персональных данных, на которые работодатель получает согласие (Ф. И. О., дата рождения, семейное положение, образование, профессия, социальное положение, доходы, национальность, состояние здоровья, политические, религиозные и философские убеждения, интимная жизнь, биометрические персональные данные);
- условия, при которых персональные данные можно передать третьим лицам.
Отдельно необходимо перечислить сведения, в отношении которых устанавливаются запреты и ограничения. По своему желанию работник помечает сведения, на которые он устанавливает запрет на распространение.
Пример
Менеджер Круглов И. И. письменно разрешил опубликовать на сайте компании Ф. И. О., дату и месяц рождения, но отказался указывать год и место рождения.
С 1 июля 2021 года на сайте Роскомнадзор действует сервис, который помогает работодателю составить форму согласия на обработку персональных данных, разрешенных для распространения. Воспользоваться сервисом могут работодатели, авторизованные на Госуслугах.
Сколько нужно хранить персональные данные, и за что штрафует Роскомнадзор, читайте в продолжении статьи в Life Profit