Москва и вся Россия

Обработка и распространение персональных данных работников в 2022 году

Определения и понятия относительно работы с персональными данными в 2022


Начнем с того, что работу с персональными данными (далее по тексту - «ПД» или «персданные») регулирует ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».
Цель, в первую очередь, – это защита наших с вами прав при совершении действия с нашими ПД и защита нашей с вами частной жизни.

Дадим несколько основных определений, которые помогут понять:

Что считать этими самыми персональными данными? Это вся, абсолютно любая, относящаяся прямо или косвенно к человеку информация.

Что считать обработкой персональных данных работника? Это любое действие с нашими персданными (не имеет значение как это действие производится с автоматизацией, т.е. через компьютер, видеосъёмку или без нее). Список действий определен также законодательством:

  • Сбор;
  • Уничтожение;
  • Систематизация;
  • Использование;
  • Блокирование;
  • Запись;
  • Уточнение (обновление, изменение);
  • Извлечение;
  • Накопление;
  • Обезличивание;
  • Удаление;
  • Хранение;
  • Передачу (распространение, предоставление, доступ);

Распространение ПД - круг лиц, который получит доступ к данным нами с субъектом заранее определен быть не может.
Предоставлением ПД – круг лиц указанный выше, мы определили и зафиксировали.
Ст. 3. № 152-ФЗ от 27.07.2006

Помимо ФЗ, в ТК РФ есть статья, определяющая требования к Работодателю к обработке персональных данных его персонала - ст. 86 ТК РФ:

  • Цель –только трудоустройство. Другие использовать не имеете права;
  • Получение - только от самого трудоустраиваемого;
  • Нельзя брать, даже если работник сам предоставит свои ПД относящиеся к спецкатегориям (членстве в общественных объединениях или его профсоюзной деятельности);
  • Нельзя использовать ПД против самого сотрудника;
    Запрещено делить расходы на защиту персданных с персоналом, но можно вместе с персоналом придумывать способы их защиты;
  • Обязательно должен быть в компании ЛНА, который будет регламентировать работу с ПД работников и при приёме сотрудник должен быть с ним под подпись ознакомлен.

 

ЛНА в компании, кто будет нести ответственность за соблюдение мер защиты персданных? кто будет иметь к ним доступ? Какими документами регламентировать?

Как писали выше, для штатного персонала обязательно должен быть локальный нормативный акт в котором вся информации о порядке работы, мерах защиты и т.д. прописаны. Персонал с ним ознакомлен до момента передачи работодателю своих данных.


можно скачать Образец_Согласие на обработку персональных данных 2022


Положение об обработке персональных данных работников – имеет определённый требования к разработке с учетом изменений 2021 и 2022 г. Оно не всегда будет универсальным, поэтому разрабатывается отдельно.


Помимо работников, компании свои персданные могут передавать и клиенты или посетители сайта. Для клиентов компании разрабатывают не положение, а политику обработки ПД –публикуют на сайте, доступную к ознакомлению, о чем обязательно оповещают посетителей страницы. (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).


Если ПД клиент передает нарочно в вашем офисе, то политику обработки персданных предоставляют к ознакомлению в печатном виде.

Помимо обработки, обязанность на работодателе лежит еще и по защите полученных персданных. (п. 7 ст. 86 ТК РФ).

Защита персональных данных в организации - это не только не допустить посторонних к месту хранения (в бумажном, цифровом или другом виде) персданных, но и запретить тем, кто доступ будет иметь по роду деятельности, ПД раскрывать и  распространять.

Круг лиц, как правило, формируется из функционала работников:

  • секретарь для покупки авиа /ж/д билетов, трансферов или заказа гостиницы;
  • бухгалтер для формирования отчётности, перечисления ЗП;
  • кадровик для оформления кадровых документов.


Запретить распространять чужие ПД кругу лиц необходимо письменно, подписав с ним соответствующее соглашение о неразглашении с указанием ответственности в случае нарушения.

Ответственный за персональный данные в организации

Внутренним приказом в каждой компании назначается 1, двоих и более недопустимо, за соблюдение всего процесса работы с ПД. (п. 1 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ). Этот работник должен осуществлять контроль за организацией обработки персданных в компании и утвердить перечень (можно также приказом), кто в силу своих трудовых обязанностей будет иметь к ним доступ, (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687) как мы писали в примере выше. Доступность всех ПД также придется ограничить и от указанного круга лиц в том числе. Свободный доступ они должны иметь только к тем,  какие им нужны для работы.

Образец _ Приказ о назначении ответственного за персональные данные


Помимо политик, положений и приказов, для контроля можно разрабатывать сопутствующие документы, такие как:

  • регламенты и допуски;
  • планы, частота и порядок проведения проверок;
  • проверочные листы и т.д.

Требования по обеспечению безопасности ПД

Можно найти в Постановлении Правительства от 01.11.2012 № 1119, а меры указаны в ст. 19 ФЗ от 27.07.2006 № 152-ФЗ.

Охранять персональные данные каждая компания обязана от:

  • уничтожения;
  • блокирования;
  • предоставления;
  • копирования;
  • изменения;
  • распространения;

П. 6 Требований, Правительства от 01.11.2012 № 1119.

 

Роскомнадзор – кому и когда уведомлять его? Кто такой оператор по обработке Персональных данных?

Компании, которые обрабатывают ПД не только своего штата, но и других физ.лиц обязаны об этом сообщить Роскомнадзору, до того как приступили к такой обработке.
Надзорный орган зарегистрирует их как оператора по обработке персональные данных.

Порядок определён приказом Роскомнадзора от 30.05.2017 № 94.
Сейчас встать на учет можно достаточно просто, отправив заявление в бумажном или электронном виде. Инструкция здесь: https://pd.rkn.gov.ru/operators-registry/notification/form/ 

Если не хочется разбираться во всем этом - юристы нашей компании помогут подать уведомление в Роскомнадзор.

Ваша компания не попадает под обязанность отправлять уведомление в Роскомнадзор, когда:

  • Вы работодатель, а ПД только работников и только в рамках трудовых отношений;
  • У вас есть договор см физ. лицом, например, договор подряда, договор ГПХ, договор с самозанятым и т.д. и вы обрабатываете его персданные только в рамках этого договора;
  • ПД относятся к членам (участникам) общественного объединения или религиозной организации;
  • ПД и так абсолютно всем доступны;
  • Если к вам из данных попали только ФИО;
  • Вы получили ПД физ лица для оформления однократного пропуска на закрытую территорию;
  • и другие, указанные в статье 22 ФЗ от 27.07.2006 № 152

Распространение персональных данных в 2022

Если компания планирует передавать персональные данные и точно может указать кому именно, то предварительно необходимо получите согласие на такие действия, указав перечень этих 3-х лиц. Например, для оформления:

  • ДМС;
  • зарплатной карты;
    пропуска;
  • передача компании, осуществлявшей аутсорсинг кадрового или бухгалтерского учета и т.д.


Чтобы оптимизировать документооборот наших клиентов, мы разработали бланк, совмещающий в себе Согласие работника на обработку и распространение персональных данных 2021 работника третьим лицам (банк, страховая, по договору аутсорсинга).


Скачать бланк на обработку персональных данных можно по ссылке Образец _ Согласие на обработку и предоставление персональных данных


Если компания собирается раскрыть данные для всех желающих, т.е. круг лиц неограничен и не может быть предварительно перечислен или зафиксирован (например, опубликовать где-либо), во избежание проблем и нарушений возьмите на это действие отдельное письменное согласие на распространение персональных данных работника. (ст. 88 ТК, ст. 10.1 ФЗ от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).


До 30 августа 2021 года не было требований к такому документу, но с 01 сентября 2021 года Роскомнадзор ввел их:

  • ФИО;
  • Номер мобильного, email, адрес для получения простых писем;
  • Данные о компании или ИП из их выписок (полное название, юрадрес, ИНН, ОГРН);
  • Ссылка на сайт, где данные будут опубликованы с указанием для чего это делается, и что именно из персданных субъект разрешает там опубликовать;
  • Важно не забыть указать на сколько дано это согласие по времени.

Мы также готовы поделиться формой. Образец _ Согласие сотрудника на распространение его персональных данных неограниченному кругу лиц

Когда субъект решит, что больше он не согласен с распространение его персданных –попросите его написать об этом в заявлении.

Образец _ Отзыв согласия на распространение и передачу персональных данных работников в 2022 году

Если сомневаетесь, можно посоветоваться с Роскомнадзором по применяемым формам согласия на распространение персональных данных. Отправьте свой бланк им по ссылке: https://pd.rkn.gov.ru/soglasiya/maket/ 

Не хотите тратить время на согласование и брать наш, можно получить макет / шаблон согласия для распространения от самого Роскомнадзора по ссылке: https://pd.rkn.gov.ru/soglasiya/ 

Хранить персданные работодатель обязан в течение времени, указанном в статье 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и перечне, утвержденном приказом Росархива от 20.12.2019 № 236.

 

Вопросы, которые всех интересуют:

1. Микропредприятия и ИП освобождены от необходимости разработки локальных нормативных актов. Нужно ли им иметь Положение о работе с персональными данными?

Да, нужно.
Положение о защите ПД обязаны иметь и микропредприятия и индивидуальные предприниматели (ИП), хотя они освобождены от обязанности разрабатывать ряд других обязательных ЛНА. К Положению о работе с персональными данными это исключение не применяется.

2. В помещениях работодателя ведется видеонаблюдение, это считается обработкой персональных данных?

Да, считается, обработкой биометрических персональных данных.
Если работодатель осуществляет видеонаблюдение в своих помещениях –это также является способом сбора и обработки персональных данных. В данном случае необходимо подписывать с работниками Согласие на обработку биометрических персональных данных и разработать соответствующее положение.

4. Можете ли вы помочь в разработке положения о работе с персональными данными работников?

Да, можем.
Reliance Company разработает для вашей компании Положение о работе с персональными данными работников, устанавливающее порядок обработки персональных данных, определение их объема и содержания, хранения, защиты, а также права и обязанности Работника и Работодателя в этой области для компаний разного масштаба и сфер деятельности.

5. Как часто необходимо обновлять или переутверждать Положение об обработке персональных данных?

При внесении изменений в законодательство, которое затрагивает вашу сферу деятельности и при изменении условий, включенных в само Положение:
• добавляется способ сбора персональных данных, например, видеонаблюдение;
• становится необходимым собирать дополнительные данные о состоянии здоровья (медотводы от вакцинации по состоянию здоровья в период COVID);

6. Какие документы регламентируют работу с персональными данными работников?

Нормативные документы:
• Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных;
• Ст. 86, 87 трудовой кодекс РФ;
• приказ Роскомнадзора от 30.05.2017 № 94;
• постановление Правительства от 01.11.2012 № 1119;
• постановление Правительства от 15.09.2008 № 687;

Опубликовано 10/05/2022

Связаться с нами
Оставьте заявку, и мы Вам обязательно перезвоним

Нажимая «Отправить», я даю свое согласие на обработку персональных данных и подтверждаю, что ознакомился с Политикой обработки персональных данных