Обработка и распространение персональных данных работников в 2022 году

Определения и понятия относительно работы с персональными данными в 2022

Начнем с того, что работу с персональными данными (далее по тексту - «ПД» или «персданные») регулирует ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».
Цель, в первую очередь, – это защита наших с вами прав при совершении действия с нашими ПД и защита нашей с вами частной жизни.

Дадим несколько основных определений, которые помогут понять:

Что считать этими самыми персональными данными? Это вся, абсолютно любая, относящаяся прямо или косвенно к человеку информация.

Что считать обработкой персональных данных работника? Это любое действие с нашими персданными (не имеет значение как это действие производится с автоматизацией, т.е. через компьютер, видеосъёмку или без нее). Список действий определен также законодательством:

Сбор;
Уничтожение;
Систематизация;
Использование;
Блокирование;
Запись;
Уточнение (обновление, изменение);
Извлечение;
Накопление;
Обезличивание;
Удаление;
Хранение;
Передачу (распространение, предоставление, доступ);

Распространение ПД - круг лиц, который получит доступ к данным нами с субъектом заранее определен быть не может.
Предоставлением ПД – круг лиц указанный выше, мы определили и зафиксировали.
Ст. 3. № 152-ФЗ от 27.07.2006

Помимо ФЗ, в ТК РФ есть статья, определяющая требования к Работодателю к обработке персональных данных его персонала - ст. 86 ТК РФ:

Цель –только трудоустройство. Другие использовать не имеете права;
Получение - только от самого трудоустраиваемого;
Нельзя брать, даже если работник сам предоставит свои ПД относящиеся к спецкатегориям (членстве в общественных объединениях или его профсоюзной деятельности);
Нельзя использовать ПД против самого сотрудника;
Запрещено делить расходы на защиту персданных с персоналом, но можно вместе с персоналом придумывать способы их защиты;
Обязательно должен быть в компании ЛНА, который будет регламентировать работу с ПД работников и при приёме сотрудник должен быть с ним под подпись ознакомлен.

ЛНА в компании, кто будет нести ответственность за соблюдение мер защиты персданных? кто будет иметь к ним доступ? Какими документами регламентировать?

Как писали выше, для штатного персонала обязательно должен быть локальный нормативный акт в котором вся информации о порядке работы, мерах защиты и т.д. прописаны. Персонал с ним ознакомлен до момента передачи работодателю своих данных.

можно скачать Образец_Согласие на обработку персональных данных 2022

Положение об обработке персональных данных работников – имеет определённый требования к разработке с учетом изменений 2021 и 2022 г. Оно не всегда будет универсальным, поэтому разрабатывается отдельно.

Помимо работников, компании свои персданные могут передавать и клиенты или посетители сайта. Для клиентов компании разрабатывают не положение, а политику обработки ПД –публикуют на сайте, доступную к ознакомлению, о чем обязательно оповещают посетителей страницы. (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если ПД клиент передает нарочно в вашем офисе, то политику обработки персданных предоставляют к ознакомлению в печатном виде.

Помимо обработки, обязанность на работодателе лежит еще и по защите полученных персданных. (п. 7 ст. 86 ТК РФ).

Защита персональных данных в организации - это не только не допустить посторонних к месту хранения (в бумажном, цифровом или другом виде) персданных, но и запретить тем, кто доступ будет иметь по роду деятельности, ПД раскрывать и распространять.

Круг лиц, как правило, формируется из функционала работников:

секретарь для покупки авиа /ж/д билетов, трансферов или заказа гостиницы;
бухгалтер для формирования отчётности, перечисления ЗП;
кадровик для оформления кадровых документов.

Запретить распространять чужие ПД кругу лиц необходимо письменно, подписав с ним соответствующее соглашение о неразглашении с указанием ответственности в случае нарушения.

Ответственный за персональный данные в организации

Внутренним приказом в каждой компании назначается 1, двоих и более недопустимо, за соблюдение всего процесса работы с ПД. (п. 1 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ). Этот работник должен осуществлять контроль за организацией обработки персданных в компании и утвердить перечень (можно также приказом), кто в силу своих трудовых обязанностей будет иметь к ним доступ, (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687) как мы писали в примере выше. Доступность всех ПД также придется ограничить и от указанного круга лиц в том числе. Свободный доступ они должны иметь только к тем, какие им нужны для работы.

Образец _ Приказ о назначении ответственного за персональные данные

Помимо политик, положений и приказов, для контроля можно разрабатывать сопутствующие документы, такие как:

регламенты и допуски;
планы, частота и порядок проведения проверок;
проверочные листы и т.д.

Требования по обеспечению безопасности ПД

Можно найти в Постановлении Правительства от 01.11.2012 № 1119, а меры указаны в ст. 19 ФЗ от 27.07.2006 № 152-ФЗ.

Охранять персональные данные каждая компания обязана от:

уничтожения;
блокирования;
предоставления;
копирования;
изменения;
распространения;

П. 6 Требований, Правительства от 01.11.2012 № 1119.

Роскомнадзор – кому и когда уведомлять его? Кто такой оператор по обработке Персональных данных?

Компании, которые обрабатывают ПД не только своего штата, но и других физ.лиц обязаны об этом сообщить Роскомнадзору, до того как приступили к такой обработке.
Надзорный орган зарегистрирует их как оператора по обработке персональные данных.

Порядок определён приказом Роскомнадзора от 30.05.2017 № 94.
Сейчас встать на учет можно достаточно просто, отправив заявление в бумажном или электронном виде. Инструкция здесь: https://pd.rkn.gov.ru/operators-registry/notification/form/

Если не хочется разбираться во всем этом - юристы нашей компании помогут подать уведомление в Роскомнадзор.

Ваша компания не попадает под обязанность отправлять уведомление в Роскомнадзор, когда:

Вы работодатель, а ПД только работников и только в рамках трудовых отношений;
У вас есть договор см физ. лицом, например, договор подряда, договор ГПХ, договор с самозанятым и т.д. и вы обрабатываете его персданные только в рамках этого договора;
ПД относятся к членам (участникам) общественного объединения или религиозной организации;
ПД и так абсолютно всем доступны;
Если к вам из данных попали только ФИО;
Вы получили ПД физ лица для оформления однократного пропуска на закрытую территорию;
и другие, указанные в статье 22 ФЗ от 27.07.2006 № 152

Распространение персональных данных в 2022

Если компания планирует передавать персональные данные и точно может указать кому именно, то предварительно необходимо получите согласие на такие действия, указав перечень этих 3-х лиц. Например, для оформления:

ДМС;
зарплатной карты;
пропуска;
передача компании, осуществлявшей аутсорсинг кадрового или бухгалтерского учета и т.д.

Чтобы оптимизировать документооборот наших клиентов, мы разработали бланк, совмещающий в себе Согласие работника на обработку и распространение персональных данных 2021 работника третьим лицам (банк, страховая, по договору аутсорсинга).

Скачать бланк на обработку персональных данных можно по ссылке Образец _ Согласие на обработку и предоставление персональных данных

Если компания собирается раскрыть данные для всех желающих, т.е. круг лиц неограничен и не может быть предварительно перечислен или зафиксирован (например, опубликовать где-либо), во избежание проблем и нарушений возьмите на это действие отдельное письменное согласие на распространение персональных данных работника. (ст. 88 ТК, ст. 10.1 ФЗ от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).

До 30 августа 2021 года не было требований к такому документу, но с 01 сентября 2021 года Роскомнадзор ввел их:

ФИО;
Номер мобильного, email, адрес для получения простых писем;
Данные о компании или ИП из их выписок (полное название, юрадрес, ИНН, ОГРН);
Ссылка на сайт, где данные будут опубликованы с указанием для чего это делается, и что именно из персданных субъект разрешает там опубликовать;
Важно не забыть указать на сколько дано это согласие по времени.

Мы также готовы поделиться формой. Образец _ Согласие сотрудника на распространение его персональных данных неограниченному кругу лиц

Когда субъект решит, что больше он не согласен с распространение его персданных –попросите его написать об этом в заявлении.

Образец _ Отзыв согласия на распространение и передачу персональных данных работников в 2022 году

Если сомневаетесь, можно посоветоваться с Роскомнадзором по применяемым формам согласия на распространение персональных данных. Отправьте свой бланк им по ссылке: https://pd.rkn.gov.ru/soglasiya/maket/

Не хотите тратить время на согласование и брать наш, можно получить макет / шаблон согласия для распространения от самого Роскомнадзора по ссылке: https://pd.rkn.gov.ru/soglasiya/

Хранить персданные работодатель обязан в течение времени, указанном в статье 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и перечне, утвержденном приказом Росархива от 20.12.2019 № 236.

Вопросы, которые всех интересуют:

1. Микропредприятия и ИП освобождены от необходимости разработки локальных нормативных актов. Нужно ли им иметь Положение о работе с персональными данными?

Да, нужно.
Положение о защите ПД обязаны иметь и микропредприятия и индивидуальные предприниматели (ИП), хотя они освобождены от обязанности разрабатывать ряд других обязательных ЛНА. К Положению о работе с персональными данными это исключение не применяется.

2. В помещениях работодателя ведется видеонаблюдение, это считается обработкой персональных данных?

Да, считается, обработкой биометрических персональных данных.
Если работодатель осуществляет видеонаблюдение в своих помещениях –это также является способом сбора и обработки персональных данных. В данном случае необходимо подписывать с работниками Согласие на обработку биометрических персональных данных и разработать соответствующее положение.

3. Есть ли ответственность за несоблюдение законодательства в части работы с персональными данными работников?

Да, есть.
Штрафы для работодателя можно скачать по ссылке: Ответственность за несоблюдение законодательства в части работы с персональными данными

4. Можете ли вы помочь в разработке положения о работе с персональными данными работников?

Да, можем.
Reliance Company разработает для вашей компании Положение о работе с персональными данными работников, устанавливающее порядок обработки персональных данных, определение их объема и содержания, хранения, защиты, а также права и обязанности Работника и Работодателя в этой области для компаний разного масштаба и сфер деятельности.

5. Как часто необходимо обновлять или переутверждать Положение об обработке персональных данных?

При внесении изменений в законодательство, которое затрагивает вашу сферу деятельности и при изменении условий, включенных в само Положение:
• добавляется способ сбора персональных данных, например, видеонаблюдение;
• становится необходимым собирать дополнительные данные о состоянии здоровья (медотводы от вакцинации по состоянию здоровья в период COVID);

6. Какие документы регламентируют работу с персональными данными работников?

Нормативные документы:
• Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных;
• Ст. 86, 87 трудовой кодекс РФ;
• приказ Роскомнадзора от 30.05.2017 № 94;
• постановление Правительства от 01.11.2012 № 1119;
• постановление Правительства от 15.09.2008 № 687;

Вас может
заинтересовать

Ведение кадрового учета

Ведение бухгалтерского учета

Аудит кадрового учета

Опубликовано 10/05/2022

Скачайте нашу презентацию

Презентация по всем нашим услугам и принципам работы с ценами и информацией об оплате

Услуги

Как добраться

603140, г.Нижний Новгород, пер.Мотальный д.8, офис С114 пом 53

125424, Москва
Волоколамское шоссе, 73
бизнес-центр СДМ

Ежедневно 9:00-21:00

Информация

Контакты

+7 (495) 198-08-42

info@reliancecompany.ru

Мы ВКонтакте

Обращаем Ваше внимание на то, что вся представленная на сайте информация носит исключительно информационный характер и ни при каких условиях не является публичной офертой определяемой положениями Статьи 437(2) Гражданского кодекса Российской Федерации.