В каком документе работник банка может проверить относится ли информация к персональным данным

Любая организация или ИП, имеющие дело с персональными данными физических лиц, считаются т. н. операторами персональных данных. А сами физические лица – субъектами персональных данных.

Законодательство, устанавливающее требования к действиям операторов, постоянно развивается с целью повышения защиты персональных данных граждан. Разберемся с главными нововведениями в этой области, касающимися широкого круга операторов персональных данных.

Уведомляйте Роскомнадзор

Роскомнадзор – это уполномоченный орган по защите прав субъектов персональных данных.

По общему правилу оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении ее осуществлять (п. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – далее Закон № 152-ФЗ).

1. в соответствии с трудовым законодательством;
2. полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. относящиеся к членам (участникам) общественного объединения или религиозной организации;
4. разрешенные субъектом персональных данных для распространения;
5. включающие в себя только фамилии, имена и отчества субъектов персональных данных;
6. необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Звучит туманно? Что же от вас требуется на практике?

Как только наступит начало сентября и соответствующие поправки в закон вступят в силу, подайте уведомление об обработке (намерении осуществлять обработку) вышеуказанных видов персональных данных. Сделать это можно через Портал персональных данных (pd.rkn.gov.ru), который курирует Роскомнадзор.

На портале имеется форма уведомления для заполнения, но, честно говоря, сообразить, как именно заполнить ее строки, довольно трудно. Например, вы должны указать цель обработки персональных данных, описать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Законом № 152-ФЗ, и меры по обеспечению безопасности персональных данных при их обработке; указать срок или условие прекращения обработки персональных данных; привести сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации и др.

Если не знаете с какой стороны подступиться, воспользуйтесь чужим опытом. На портале есть реестр операторов персональных данных. Сведения, содержащиеся в нем, являются общедоступными. Поэтому вы можете посмотреть реестровую запись, например, любой крупной компании и заполнить свое уведомление по образу и подобию.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Дополнительно можно изучить Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения», Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В дальнейшем нужно не забывать уведомлять Роскомнадзор об изменении ранее предоставленных сведений, а также в случае прекращения обработки персональных данных. Оператор обязан подать соответствующее информационное письмо, заявление в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона № 152-ФЗ).

С 01.01.2023 сроки уведомления изменят: в случае изменения в ранее переданных сведениях об обработке персданных, оператор должен будет уведомить контролирующий орган не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения; в случае прекращения обработки персональных данных оператор обязан будет уведомить об этом Роскомнадзор в течение десяти рабочих дней с даты прекращения обработки персональных данных (п. 7 ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ).

Нарушение рассмотренных требований влечет предупреждение или наложение административного штрафа на должностных лиц и ИП – 300-500 тыс. руб.; на юридических лиц – 3-5 тыс. руб. (ст. 19.7 КоАП РФ).

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу?

Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

• если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
• при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

• в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
• в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
• анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
• в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

• сбор;
• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

В свою очередь, обработка может осуществляться тремя путями:

• Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

• обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
• обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
• неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама

Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров». Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.

Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.

Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора

Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель. Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах. Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».

Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.

При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.

Заемщик вправе решать, кому он открывает доступ к персональным данным: позиция Банка России и Роскомнадзора

Кредиторам рекомендуется получать отдельное согласие заемщика на обработку персональных данных в отношении каждого лица, которое может иметь к ним доступ. Такая позиция изложена в совместном письме Банка России и Роскомнадзора.

Кроме того, следует запрашивать отдельное согласие гражданина на обработку биометрических данных, а также если банк или другой кредитор собираются использовать полученные от клиента персональные данные для продвижения товаров, работ и услуг. Не рекомендуется предлагать заемщику соглашаться с бессрочным действием или автоматической пролонгацией разрешения, а устанавливаемый срок должен отвечать конкретной цели получения персональных данных.

Сейчас некоторые кредиторы при выдаче потребительских кредитов и займов применяют максимально широкие формулировки: заемщик одной подписью соглашается на передачу данных о себе не только кредитору, но и другим лицам, в ряде случаев — неограниченному кругу лиц. В результате эта информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после выплаты долга.

Сколько хранить согласия о персональных данных

Согласия на обработку персональных данных хранят 3 года после истечения срока действия согласия или его отзыва.

К примеру, согласие дано на 1 год, значит, уничтожаем его через 4 года после выдачи. Если работник отзовет согласие досрочно, тогда уничтожаем через 3 года после отзыва. Эти правила установлены ст. 441 приказа Росархива 236 от 20.12.2019 о сроках хранения всех кадровых документов.

Может ли работник отозвать согласие на обработку персданных

Может. Любой человек имеет право отозвать согласие на обработку, подав письменное заявление. Это его право по ч. 2 ст. 9 закона 152-ФЗ.

Тогда работодатель сможет продолжить обработку персданных без согласия в пределах трудового законодательства и по иным основаниям, когда обработка возможна без согласия. Такие основания мы разобрали выше, они перечислены в п. 2–11 с. 1 ст. 6, с. 2 ст. 10, ч. 2 ст. 11 закона о персданных.

В случае отзыва согласия работодатель сможет издавать приказы, распоряжения, рассчитывать работнику зарплату. Но фотографию работника с сайта или доски почета придется убрать.

Нужно ли согласие для обработки персданных уволенного сотрудника

Согласие не требуется. Работодатель вправе обрабатывать данные уволенного работника для целей налогового и бухгалтерского учета.

Могут ли согласия на обработку быть электронными

Согласие работника на обработку персональных данных может быть подписано электронной подписью. Это предусмотрено ч. 4 ст. 9 закона 152-ФЗ. Есть 3 вида электронных подписей работников: простая, неквалифицированная и квалифицированная. Для согласий можно использовать любой вид электронной подписи.

Как выбрать электронные подписи для сотрудников — читайте в статье.

Трудовой кодекс разрешает подписывать электронно не только согласия на обработку персональных данных, но и трудовые договоры, приказы об отпусках и должностные инструкции. Как перейти на электронное взаимодействие с работниками — читайте в статье. Как обмениваться с работниками электронными согласиями и другими кадровыми документами — читайте в статье.

Электронный документооборот с работниками

На какие сведения медицинского характера запрет не распространяется?

Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:

• к педагогам (ст. 331 ТК РФ);
• работникам служб авиационной безопасности (подп. 2 п. 4 ст. 52 Воздушного кодекса Российской Федерации от 19.03.1997 № 60-ФЗ);
• морякам торгового флота (п. 2 ст. 55 Кодекса торгового мореплавания Российской Федерации от 30.04.1999 № 81);
• работникам объектов атомной энергетики (ст. 27 закона РФ «Об использовании атомной энергии» от 21.11.1995 № 170-ФЗ);
• персоналу объектов топливно-энергетического комплекса (подп. 2 п. 1 ст. 10 закона РФ «О безопасности объектов топливно-энергетического комплекса» от 21.07.2011 № 256-ФЗ);
• муниципальным служащим (подп. 4 п. 1 ст. 13 закона РФ «О муниципальной службе в Российской Федерации»от 02.03.2007 № 25-ФЗ);
• государственным служащим (подп. 4 п. 1 ст. 16 закона РФ «О государственной гражданской службе Российской Федерации» от 27.07.2004 № 79-ФЗ);
• лицам, направляемым на работу в местности, требующие наличия профилактических прививок (п. 2 ст. 5 закона РФ «Об иммунопрофилактике инфекционных болезней» от 17.09.1998 № 157-ФЗ);
• людям, имеющим дело с источниками повышенной опасности (ст. 6 закона РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании» от 02.07.1992 № 3185-1);
• работникам прокуратуры (п. 2 ст. 40.1 закона РФ от 17.01.1992 № 2202-1);
• сотрудникам органов внутренних дел и органов по контролю за оборотом наркотиков (подп. 5 п. 1 ст. 14 и п. 4 ст. 97 закона РФ «О службе в органах внутренних дел Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» от 30.11.2011 № 342-ФЗ);
• лицам, связанным с обеспечением транспортной безопасности (подп. 2 п. 1 ст. 10 закона РФ «О транспортной безопасности» от 09.02.2007 № 16-ФЗ);
• лицам, имеющим дело с пищевыми продуктами (п. 2 ст. 23 закона РФ «О качестве и безопасности пищевых продуктов» от 02.01.2000 № 29-ФЗ);
• работникам ведомственной охраны (ст. 6 закона РФ «О ведомственной охране» от 14.04.1999 № 77-ФЗ);
• лицам, работающим с химическим оружием (ст. 2 закона РФ «О социальной защите граждан, занятых на работах с химическим оружием» от 07.11.2000 № 136-ФЗ).

Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.

Распространенные вопросы

Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:

• если данную информацию нельзя получить у самого работника;
• при наличии согласия работника.

Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.

Относятся ли сведения полиграфа к персональным данным?

Законодательство не запрещает работодателям использовать детектор лжи для проверки кандидатов и действующих работников с целью получения в ходе такой проверки ответов на вопросы, касающиеся лояльности работника к работодателю, а также деловых и профессиональных качеств работника. Применять полиграф работодатель вправе только при наличии письменного согласия работника. В таком согласии должны быть указаны следующие данные:

• разъяснение о праве выбора гражданина дать согласие на экспертизу или отказаться от нее;
• перечень вопросов, по которым будет проводиться психофизиологическая экспертиза;
• разъяснение о праве гражданина в любой момент отказаться от экспертизы;
• обязательство работодателя использовать результаты экспертизы только для целей рассмотрения возможности приема кандидата на работу или соответствия работника занимаемой должности.

Информация, полученная в результате проверки на полиграфе, относится к персональным данным гражданина (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ).

Какие риски возможны при нарушении требований к обработке персональных данных работников организации?

При нарушении требований к обработке персональных данных сотрудника работодателя ждет:

1. административная ответственность:

• по ч. 1, 2 ст. 5.27 КоАП РФ — за несоблюдение требований к обработке персональных данных работников, которые установлены ТК РФ.
• по ст. 13.11 КоАП РФ — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

2. уголовная ответственность:

• по ч. 2 ст. 137 УК РФ — если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.