Что относится к персональным данным работника в 2023 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что относится к персональным данным работника в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Нормативная база о персональных данных
2. Что относится к персональным данным работника
3. Обработка персональных данных
4. Как и когда нужно уведомлять Роскомнадзор
5. Какие есть требования к согласию на обработку ПД
6. Общедоступные персональные данные
7. Отзыв согласия на обработку и распространение общедоступных персональных данных
8. Особенности использования персональных данных работодателем
9. Обновление правил обработки персональных данных работников: что изменилось в 2021 году
10. Меры защиты и ответственность
11. Какие существуют требования по обеспечению защиты ИСПД?
12. Что подразумевают под персональными данными
13. Какие ещё изменения произошли
14. Уведомление об обработке персональных данных
15. Юридические основания

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Нормативная база о персональных данных

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

  • цели обработки персональных данных;
  • перечня персональных данных, на обработку которых даёт согласие их субъект;
  • наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
  • перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
  • срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

  • категории и перечень персональных данных
  • категории субъектов, персональные данные которых обрабатываются;
  • способы и сроки хранения персональных данных;
  • порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Читайте также:  День военного автомобилиста в 2023 году когда России

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Особенности использования персональных данных работодателем

Разобраться в тонкостях использования, хранения и распространения ПДн персонала могут только опытные кадровики и юристы, но есть моменты, о которых важно знать всем:

  • любые действия в отношении личных сведений осуществляются после получения согласия на обработку (кроме определенных случаев, прописанных в ФЗ-152);
  • если субъект недееспособен либо частично дееспособен, то подпись может поставить законный или уполномоченный представитель;
  • в отдельных случаях (не соответствующих целям, прописанным в ТК РФ) даже согласие субъекта не дает права оператору передавать третьим лицам ПДн;
  • в согласии нужно четко прописывать цели, методы и применяемые средства совершения операций с конфиденциальными сведениями;
  • обойтись без разрешения работника можно, если ПДн получены из документов, которые субъект предоставил во время подписания трудового договора, либо от кадрового агентства, с которым официально сотрудничает соискатель;
  • следует обязательно проинформировать работников о правилах и специфике работы с ПДн, прописанных в локальных нормативно-правовых актах;
  • должен быть человек, ответственный за решение вопросов в сфере обработки личных данных работников;
  • регулярно требуется проводить оценку применяемых средств защиты ПДн и устранять угрозы безопасности.

Обновление правил обработки персональных данных работников: что изменилось в 2021 году

Если вы работодатель, и персональные данные сотрудников приходится обрабатывать регулярно, то нужно постоянно проводить мониторинг законодательной базы. Изменения 2021 года не коснулись основных принципов, в частности, нельзя требовать информацию, которая не нужна для исполнения рабочих обязанностей, в частности, нарушением считается выяснение религиозных и политическим предпочтений, деталей интимной жизни или национальной принадлежности. Также государство оставляет право произвольного составления формы согласия на обработку ПДн, но при этом нужно дополнительно получать документ, разрешающий распространять личные сведения. Специальное согласие позволяет размещать информацию на виртуальных ресурсах, причем отсутствие реакции от субъекта не может интерпретироваться как положительный ответ на запрос о распространении ПДн. Требование распространяется даже на сведения, которые гражданин публикует на открытых онлайн площадках, в частности, в мессенджерах и социальных сетях.

Читайте также:  Может ли организация оплатить патент за иностранного работника в 2023 году

Среди других нововведений следует отметить:

  1. Вступление в силу ФЗ-248, который определяет новый механизм осуществления инспекционных проверок, а также Постановления Правительства № 1046, где четко прописывается порядок проверочных мероприятий.
  2. Возможность распространения ПДн без дополнительного согласия только ПФР, правоохранительным и другим государственным органам. Персональные данные работника являются информацией, которая не может передаваться свободно третьим лицам.
  3. Предоставление субъекту права отказать в разрешении на распространение личных сведений. Одновременно с этим, если законом на работодателя возложены обязательства по сбору и хранению ПДн, то совершать эти операции можно и без согласия.
  4. Наличие двух способов оформления согласия — при помощи ИС Уполномоченного органа либо в письменном виде с оригиналом подписи физлица.
  5. Подключение оператора к системе Роскомнадзора для получения информации, необходимой для предусмотренных законом целей обработки без непосредственного взаимодействия с субъектом.
  6. Требование составлять отдельное согласие для распространения ПДн каждому третьему лицу, то есть нельзя попросить сотрудника заполнить и подписать один документ для разных целей и сразу нескольких вариантов использования конфиденциальных данных.
  7. Обязательство предприятия остановить обработку персональных данных сотрудников в течение 3 дней после поступления официального заявления с соответствующим требованием от владельца ПДн. При неисполнении данного условия субъект может отправить исковое заявление в судебный орган для защиты своих прав.
  8. Увеличение в 2 раза штрафов за различные нарушения, включая неполучение согласия и продолжение использования ПДн после поступления заявления с требованием о прекращении обработки.

Меры защиты и ответственность

В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта. Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица.
Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения.

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности. Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.

При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной. Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами. Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором.

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

Что подразумевают под персональными данными

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.

К персональным данным в этом случае относят информацию, которую:

  • получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
  • получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
  • разрешено распространять с согласия физлица;
  • будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.
Читайте также:  Можно ли сдавать на права на своей машине в 2023 году

К ним также относятся личные сведения:

  • содержащие в себе только Ф.И.О. физлица;
  • касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.

Какие ещё изменения произошли

  1. Запрещена биометрическая обработка персональных данных несовершеннолетних;
  2. Работник вправе добровольно отказаться от биометрической обработки персональных данных;
  3. Обработка персональных данных осуществляется только с согласия;
  4. Сотрудник вправе запросить сведения о том, как работодатель обрабатывает персональные данные и какая информация о нём хранится. Работодатель обязан ответить в течение 10 рабочих дней. При уважительной причине работодатель вправе увеличить срок ответа ещё на 5 рабочих дней;
  5. В течение 24 часов работодатель обязан сообщить об утечке персональных данных в Роспотребнадзор, а в течение 72 часов провести расследование инцидента и сообщить о его результатах. Указать виновных и принятые меры.

Существуют разные способы хранения данных. Некоторые не готовы переходить к электронным архивам, а значит, предпочитают вести дела традиционным образом (то есть на бумаге). Суть метода в том, чтобы хранить все данные о сотрудниках, его личные документы и копии в буквальной папке, которая называется личным делом.

Каковы преимущества такого типа ведения личных дел? Среди них выделяют следующие:

  • всю информацию просто найти, так как она располагается в одном месте;
  • данные можно легко систематизировать;
  • поиск информации занимает максимально короткое время.

Однако такой метод имеет и некоторые минусы. Например, следующие:

  • наличие дополнительных ресурсов для хранения, таких как специальные помещения, оборудование, сейфы и так далее;
  • трудоемкость процесса;
  • требуются специальные навыки для ведения бумажной документации.

Иногда отделы кадров предпочитают хранить информацию об одном сотруднике раздельно (в различных тематических папках). Так, отдельно хранятся все трудовые договоры, анкеты и прочие документы по всем работникам сразу. Их нумеруют для более удобного поиска. Этот способ менее трудозатратен, чем тот, что был описан выше, да и не требует никаких специальных навыков от сотрудника отдела кадров.

Тем не менее и он не лишен недостатков. Среди них выделяют следующие:

  • большое количество времени требуется для того, чтобы отыскать нужные данные о конкретном работнике;
  • риск утечки конфиденциальной информации существенно повышается.

Уведомление об обработке персональных данных

Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор. Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки. Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.

Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных», соответствующие уставным задачам и осуществляемой деятельности.

Юридические основания

Вопросы о том, какие сведения относятся к рассматриваемой категории рассматриваются в законе № 152-ФЗ, «О персональных данных» от 27 января 2007 года. Основанием для принятия этого нормативного акта является необходимость обеспечения прав и свобод граждан.

В нём применяется очень широкая трактовка того, что представляют собой персональные данные (ПДн). Здесь рассматривается то, какие сведения охраняются, что считается обработкой и по каким правилам она должна происходить.

При этом информация любого характера, имеющая отношение к конкретному лицу подпадает под действие этого закона. Этот нормативный акт регламентирует, то, какая именно обработка такой информации допустима и как она должна храниться.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *