Законодательство не стоит на месте, и вот с 1 июля 2017 года
введены новые штрафы за несоблюдение требований Федерального закона «О
персональных данных» от 27.07.2006 №152-ФЗ (далее – Закон №152). Что
нужно сделать уже сегодня, чтобы избежать административную
ответственность?
Самый надежный вариант - обратиться к специализированным компаниям за услугами по персональным данным, что включает в себя аудит и грамотная настройка системы. А теперь рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц.
1. До начала обработки персональных данных сотрудников работодателю
необходимо уведомить территориальный орган Роскомнадзора о намерении
осуществить обработку. Исключение составляют случаи обработки
персональных данных:
- сделанных сотрудниками общедоступными;
- полученных организацией в связи с заключением договора, стороной
которого является сотрудник (при условии, что персональные данные не
распространяются, а также не предоставляются третьим лицам без согласия
сотрудника и используются работодателем исключительно для исполнения
указанного договора и заключения иных договоров с сотрудником);
- включающих в себя только фамилии, имена и отчества сотрудников;
- необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в
соответствии с федеральными законами статус государственных
автоматизированных информационных систем, а также в государственные
информационные системы персональных данных, созданные в целях защиты
безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с
законодательными актами, устанавливающими требования к обеспечению
безопасности персональных данных при их обработке и к соблюдению прав
субъектов персональных данных;
- обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
Форма уведомления о намерении осуществлять обработку персональных
данных, а также порядок ее заполнения утверждены приказом Роскомнадзора
от 30 мая 2017 г. №94. Кроме того, подробный перечень сведений, которые
должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона
№152-ФЗ. Работодатель может направить уведомление в бумажном виде в
адрес территориального органа Роскомнадзора или в электронном виде через
портал персональных данных (ч. 3 ст. 22 Закона №152-ФЗ).2. Закрепить порядок получения, обработки, передачи и хранения
персональных данных в локальном акте организации. Например в положении
об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1
ст. 18.1 Федерального Закона №152-ФЗ).
Отсутствие в организации локального нормативного акта, устанавливающего
порядок обработки персональных данных работников, является нарушением
трудового законодательства и влечет административную ответственность по
ст. 5.27 КоАП РФ (постановления Московского городского суда от
29.08.2011 №4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006
№КА-А40/11424-06 по делу №А40-17389/06-146-165, от 01.11.2006,
08.11.2006 №КА-А40/10787-06 по делу №А40-32068/06-96-156).3. Назначить работника, ответственного за работу с персональными данными
(ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который
взаимодействует с личными делами сотрудников. Он будет получать согласие
работников на обработку персональных данных, вести карточки сотрудников
и т.д.
4. Подготовить шаблон согласия на обработку персональных данных. Без
него запрашивать личные сведения физлиц нельзя. Такое согласие должно
включать в себя следующую информацию (части 4 статьи 9 Закона №152-ФЗ):
- наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Не требуется согласие работника на передачу его персональных данных:
- в налоговые органы;
- военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;
- для предоставления сведений в банк, обслуживающий банковские карты
работников, при условии что в договоре о выпуске карт (коллективном
договоре, локальном нормативном акте организации) содержится пункт о
праве работодателя передавать
персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников.Во всех остальных случаях передача персональных данных производится с
письменного согласия работника, из которого должно быть ясно, кому будут
передаваться его персональные данные и с какой целью.