Shchbooks.ru

Электронные книги Books
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как специалисту по охране труда избегать разглашения персональных данных работников

Как специалисту по охране труда избегать разглашения персональных данных работников?

На предприятии был заслушан доклад руководителя службы охраны труда о состоянии травматизма, содержащий конкретные примеры несчастных случаев на производстве. Доклад был проиллюстрирован слайдами, в том числе фотографиями работников. Спустя какое-то время один из работников, чье фото использовалось для примера, обратился с жалобой в суд и государственную инспекцию труда. Среди прочего речь шла о нарушении права на неразглашение персональных данных.

Возможна ли такая ситуация? Могут ли быть привлечены к административной ответственности предприятие и его должностные лица?

Эксперт в сфере трудового законодательства и постоянный автор Наталья Агуреева рассказывает со страниц журнала «Охрана труда и пожарная безопасность» про законность сбора, хранения и использования персональных данных отделом по охране труда.

Персональными данными оперирую не только кадровики!

Персональные данные — это любая информация, относящаяся прямо или косвенно к физическому лицу (субъекту персональных данных). В том числе:

  • фамилия, имя, отчество;
  • биометрические персональные данные;
  • год, месяц и дата рождения;
  • место рождения, адрес;
  • семейное, социальное, имущественное положение;
  • сведения об образовании, профессии;
  • сведения о доходах.

Если мы говорим об охране труда, то персональные данные содержатся, например, в журналах инструктажей, в направлениях на медицинские осмотры и психиатрические освидетельствования, заключительных актах, заключениях и решениях медицинских комиссий, в картах СОУТ, а также в других документах. Они также содержатся в объяснительных, актах, в фото- и видеоматериалах.

Работник при приеме на работу знакомится с Положением о защите персональных данных, действующем в организации, а также подписывает согласие на обработку своих персональных данных.

Таким образом, с точки зрения действующего трудового законодательства и законодательства о защите персональных данных работник обязан предоставить свои достоверные персональные данные, а также подтвердить письменно разрешение, данное им работодателю на сбор, обобщение, хранение и уничтожение его персональных данных.

Если работник отказывается подписать согласие на обработку персональных данных, то его невозможно принять на работу.

Работодатель без согласия работника не может использовать его фамилию, имя, отчество даже для издания приказа. В соответствии с Законом № 152-ФЗ работодатель несет ответственность за использование персональных данных работника без его письменного согласия, разглашение персональных данных работника третьим лицам (ст. 13.11 КоАП РФ).

Работодатель обязан иметь разработанное и утвержденное Положение о защите персональных данных.

Персональные данные работника используют: руководитель подразделения (отдела) работника, отдел кадров, бухгалтерия, служба охраны труда, служба безопасности и т. д. Именно поэтому в компании должен быть утвержден (например, приказом) список лиц, допущенных к тем или иным персональным данным.

Специалист по охране труда, допущенный к обработке и использованию персональных данных, должен знать, что он может делать, а что ему делать запрещено.

Больше на эту тему, в том числе об ответственности за разглашение персональных данных отделом охраны труда, в выпуске журнала «Охрана труда и пожарная безопасность», 2019, №9.

Персональные данные работников: как работодателю не нарушить закон

Елена Мехоношина

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Читайте так же:
Доверенность на подписание кадровых документов краткая

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Читайте так же:
Как написать согласие на выезд и въезд несовершеннолетней

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 09.02.2021

Получайте новости и обновления Эльбы

Подписываясь на рассылку, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур

Инструкция по организации доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы»

1.1. Настоящая Инструкция определяет порядок доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» и входящей в состав ее информационных ресурсов (далее — конфиденциальная информация), и устанавливает основные права и обязанности пользователей ГАС «Выборы» при работе с персональными данными и иной конфиденциальной информацией.

1.2. Перечень персональных данных и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы», и изменения к нему утверждаются Центральной избирательной комиссией Российской Федерации.

1.3. Защита конфиденциальной информации осуществляется подсистемой обеспечения информационной безопасности, представляющей собой комплекс программно-технических средств и организационных мер защиты информации от несанкционированного изменения или доступа к ней. Управление подсистемой обеспечения информационной безопасности осуществляет отдел защиты информации Федерального центра информатизации при Центральной избирательной комиссии Российской Федерации.

1.4. Председатель Центральной избирательной комиссии Российской Федерации, председатель избирательной комиссии субъекта Российской Федерации назначает ответственного за организацию обеспечения доступа к конфиденциальной информации в соответствии с настоящей Инструкцией.

1.5. Ответственность за выполнение соответствующих положений настоящей Инструкции и иных нормативных актов по обеспечению безопасности информации возлагается на членов Центральной избирательной комиссии Российской Федерации, руководителей структурных подразделений ее Аппарата, Федерального центра информатизации при Центральной избирательной комиссии Российской Федерации (далее — ФЦИ при ЦИК России), Российского центра обучения избирательным технологиям при Центральной избирательной комиссии Российской Федерации (далее — РЦОИТ при ЦИК России), членов избирательных комиссий субъектов Российской Федерации и нижестоящих избирательных комиссий, руководителей информационных центров, системных администраторов, обеспечивающих эксплуатацию комплексов средств автоматизации в соответствующих избирательных комиссиях.

2. Организация доступа к конфиденциальной информации

2.1. Доступ к конфиденциальной информации предоставляется пользователям системными администраторами, обеспечивающими эксплуатацию комплексов средств автоматизации в соответствующих избирательных комиссиях, по списку пользователей, допущенных к работе с персональными данными и иной конфиденциальной информацией, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» (далее — список), форма которого дана в приложении N 1 к настоящей Инструкции (не приводится).

2.2. На основании списка администратор подсистемы обеспечения информационной безопасности ГАС «Выборы», руководитель информационного центра избирательной комиссии субъекта Российской Федерации, системный администратор, обеспечивающий эксплуатацию комплекса средств автоматизации в соответствующей избирательной комиссий, разрабатывает таблицу разграничения доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» (далее — матрица доступа), форма которой дана в приложении N 2 к настоящей Инструкции (не приводится).

2.3. Матрица доступа составляется как на электронном, так и на бумажном носителях. На бумажном носителе матрица доступа составляется в двух экземплярах: подлинник (контрольный экземпляр) и рабочий экземпляр.

2.4. Администратор подсистемы обеспечения информационной безопасности ГАС «Выборы» (системный администратор избирательной комиссии субъекта Российской Федерации (муниципальной, окружной, территориальной избирательной комиссии) на основании матрицы доступа предоставляет пользователям доступ к информационным ресурсам ГАС «Выборы», проверяет на его автоматизированном рабочем месте (далее — АРМ) заданные возможности доступа и выдает под расписку в журнале регистрации персональный идентификатор.

2.5. Системный администратор, обеспечивающий эксплуатацию комплекса средств автоматизации в соответствующей избирательной комиссии, иные пользователи, допущенные к конфиденциальной информации, имеют право предоставлять сведения, содержащие конфиденциальную информацию, только председателю соответствующей избирательной комиссии, а также лицам, имеющим право получать указанные сведения в соответствии с настоящей Инструкцией и федеральным законодательством о выборах, референдуме.

3. Обязанности пользователей ГАС «Выборы», допущенных
к конфиденциальной информации

3.1. В должностных инструкциях лиц, допущенных к конфиденциальной информации, устанавливается необходимость выполнения требований по обеспечению безопасности конфиденциальной информации в ГАС «Выборы», также они должны быть ознакомлены под расписку с положениями пункта 3.2 настоящей Инструкции.

3.2. Лица, допущенные к конфиденциальной информации, обязаны:

— не сообщать конфиденциальную информацию лицам, не имеющим права доступа к ней;

— обеспечивать сохранность материалов с конфиденциальной информацией;

— не делать неучтенных копий на бумажных и электронных носителях;

— не оставлять включенными АРМ с предоставленными правами доступа, после окончания работы (в перерывах) не оставлять материалы с конфиденциальной информацией на рабочих столах. Покидая рабочее место, пользователь обязан убрать документы и электронные носители с конфиденциальной информацией в закрываемые на замок сейфы, шкафы, столы, и т.п.;

— при работе с документами, содержащими конфиденциальную информацию, исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними;

— не выносить документы и иные материалы с конфиденциальной информацией, а также их копии из служебных помещений, предназначенных для работы с ними;

— не вносить изменения в настройку средств защиты информации в строгом соответствии с эксплуатационной документацией;

— немедленно сообщать соответствующему руководителю структурного подразделения Аппарата ЦИК России, ФЦИ при ЦИК России и РЦОИТ при ЦИК России, председателю соответствующей избирательной комиссии, а также в вышестоящую избирательную комиссию о недостаче, утрате, утечке или искажении конфиденциальной информации, об обнаружении неучтенных материалов с указанной информацией;

— не допускать действий, способных повлечь утечку конфиденциальной информации;

— предъявлять для проверки лицам, наделенным необходимыми полномочиями в соответствии с законодательством Российской Федерации и нормативными актами ЦИК России, по их требованию все числящиеся и имеющиеся в наличии документы с конфиденциальной информацией.

3.3. Лица, виновные в нарушении требований настоящей Инструкции и иных документов, регламентирующих вопросы защиты конфиденциальной информации, несут ответственность в соответствии с действующим законодательством Российской Федерации.

4. Порядок доступа должностных лиц органов
государственной власти, иных государственных органов,
органов местного самоуправления к информационным ресурсам
ГАС «Выборы», содержащим персональные данные

4.1. Право доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, имеют должностные лица органов государственной власти, иных государственных органов (далее — государственные органы), органов местного самоуправления, которым доступ к такой информации предусмотрен федеральными законами (далее — должностные лица).

Читайте так же:
Если работник не хочет идти в отпуск

4.2. Порядок направления и исполнения запросов о предоставлении доступа должностных лиц к информационным ресурсам ГАС «Выборы», содержащим персональные данные, может быть определен соглашением о взаимодействии Центральной избирательной комиссии Российской Федерации и федерального государственного органа.

4.3. Доступ должностных лиц к информационным ресурсам ГАС «Выборы», содержащим персональные данные, который необходим для реализации установленных законодательством Российской Федерации полномочий государственных органов, органов местного самоуправления, осуществляется на основании направленного в Центральную избирательную комиссию Российской Федерации либо в соответствующую избирательную комиссию субъекта Российской Федерации запроса уполномоченного должностного лица.

4.4. Запрос о предоставлении доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, оформляется в письменном виде на бланке установленной формы, удостоверяется печатью и должен содержать:

наименование государственного органа, органа местного самоуправления, его почтовый адрес, регистрационный номер запроса и дату его подписания;

ссылку на федеральный закон (с указанием статьи), регламентирующий право доступа должностного лица;

наименование субъекта персональных данных и объем запрашиваемых о нем сведений;

определение цели получения доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, которая связана с исполнением должностным лицом определенных федеральным законом обязанностей, для чего необходим доступ к персональным данным, обрабатываемым в комплексе средств автоматизации ГАС «Выборы».

4.5. Доступ должностных лиц к информационным ресурсам ГАС «Выборы», содержащим персональные данные, осуществляется с учетом требований законодательства Российской Федерации о персональных данных, об информации, информационных технологиях и о защите информации.

4.6. При работе с документами, связанными с предоставлением персональных данных, должен обеспечиваться режим ограниченного доступа к соответствующим документам.

4.7. Центральная избирательная комиссия Российской Федерации не позднее чем через тридцать дней со дня получения запроса получает средствами комплекса средств автоматизации Центральной избирательной комиссии Российской Федерации персональные данные и предоставляет доступ к ним должностному лицу либо не позднее чем через десять дней со дня получения запроса должностного лица направляет указанный запрос в соответствующую избирательную комиссию субъекта Российской Федерации.

4.8. Избирательная комиссия субъекта Российской Федерации не позднее чем через 20 дней со дня получения запроса из Центральной избирательной комиссии Российской Федерации, указанного в пункте 4.7, получает средствами комплекса средств автоматизации территориальной избирательной комиссии (либо избирательной комиссии субъекта Российской Федерации в случае обработки соответствующих персональных данных только на комплексе средств автоматизации избирательной комиссии субъекта Российской Федерации) персональные данные и предоставляет доступ к ним должностному лицу.

4.9. Запрос, направленный должностным лицом непосредственно в избирательную комиссию субъекта Российской Федерации, подлежит рассмотрению и исполнению не позднее чем через 30 дней со дня получения запроса в порядке, определенном пунктом 4.8.

4.10. Запросы, по форме и содержанию не отвечающие требованиям настоящего раздела, исполнению не подлежат. В этом случае Центральная избирательная комиссия Российской Федерации либо избирательная комиссия субъекта Российской Федерации (если запрос был направлен непосредственно в избирательную комиссию субъекта Российской Федерации) направляет должностному лицу отказ в предоставлении доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные.

Приложение № 2 к постановлению ЦИК России от 3 ноября 2003 года № 49/463-4

Защита и хранение персональных данных работника

Государственная инспекция труда в Псковской области напоминает: об обработке, защите, хранении, использовании персональных данных работника говорится в статьях Трудового кодекса РФ 86-90.

Работодатель при обработке персональных данных работника обязан соблюдать общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Порядок хранения и использования персональных данных работников устанавливается работодателем.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Читайте так же:
Должник — банкрот, поручитель — свободен?

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Новые правила обработки и распространения персональных данных с 1 марта 2021 года

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

shutterstock_1017337375.jpg

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Читайте так же:
Должностная инструкция на слесаря кипиа производства

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

shutterstock_1794229696.jpg

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

  • ФИО заявителя;
  • контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector