Обработка персональных данных

644

Вопрос

В наше организации планируется проведение обязательных медосмотров сотрудников. Для этого необходимо предварительно отправить в мед.учреждение список сотрудников с такими данными как: ФИО, дата рождения, место жительства. Обязаны ли мы:1) уведомлять Роскомнадзор о такой обработке персональных данных;2) брать с работников согласие на обработку персональных данных.

Ответ

 1. Нет, не обязаны. Проведение обязательных медицинских осмотров предусмотрено трудовым кодексом. В соответствии с п. 1 ч. 2 ст. 22 Закона о персональных данных оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством.

2. Да, с работников надо взять согласие на обработку персональных данных, в котором указано согласие на передачу персональных данных третьим лицам. Обработка персональных данных включает в себя передачу этих данных (п. 3 ст. 3 Закона № 152-ФЗ).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».

Статья: Хранение персональных данных в России. Какие особенности есть для сведений о работниках

«В каких случаях нужно уведомить Роскомнадзор об обработке персональных данных?

Если компания обрабатывает персональные данные не только работников и контрагентов — физических лиц. То есть фактически любая компания обязана уведомить чиновников об обработке персональных данных.

По общему правилу работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Многие компании до сих пор этого не сделали. Они обосновывают это так: работодатель обрабатывает персональные данные только своих работников. Поэтому компания подпадает под исключение, которое установлено в п. 1 ч. 2 ст. 22 Закона № 152-ФЗ. Согласно этой норме работодатель вправе обрабатывать персональные данные в соответствии с трудовым законодательством без уведомления Роскомнадзора.*

Но в большинстве случаев позиция о том, что уведомление не требуется, ошибочная. Ведь работодатель обрабатывает данные не только работников, но и других субъектов. Например, представителей контрагентов при получении доверенностей или работников других компаний, входящих в одну группу с работодателем. В таких случаях рекомендуется направить уведомление в Роскомнадзор.

По какой форме нужно уведомить Роскомнадзор?

30

дней — срок, в течение которого Роскомнадзор внесет сведения о компании в реестр операторов.

Уведомление можно подать в форме электронного документа, лично или через почту. В последнем случае воспользуйтесь формой из приложения № 2 к Административному регламенту (утв. приказом Минкомсвязи России от 21.12.2011 № 346 с изм. от 28.08.2015; далее — Административный регламент).

Включите в уведомление сведения о персональных данных работников (п. 7Временных рекомендаций по заполнению формы уведомления, утв. Роскомнадзором 30.12.2014). Исключения, установленные в ч. 2 ст. 22 Закона № 152-ФЗ, в данном случае неприменимы.

Роскомнадзор внесет информацию из уведомления в реестр операторов в течение 30 дней с даты получения документа. Платить деньги за это не нужно (ч. 4, ч. 5 ст. 22 Закона № 152-ФЗ).

Работодатели, которые не уведомили Роскомнадзор, рискуют получить письмо от чиновников. В ответ на него работодатели будут обязаны направить уведомление или обосновать причины его ненаправления. В последнем случае увеличивается риск проверки Роскомнадзором соответствия действительности такого рода обоснования. Так, согласно ежегодному отчету за 2014 год Роскомнадзор направил операторам более 58 тыс. таких писем (http:// rkn.gov.ru/docs/Otchet_ZPD_rus.pdf).

ИНТЕРЕСНЫЙ ВОПРОС

КАК УКАЗАТЬ В УВЕДОМЛЕНИИ В РОСКОМНАДЗОР НАИМЕНОВАНИЕ БАЗЫ ДАННЫХ И ЕЕ МЕСТОНАХОЖДЕНИЕ?

УКАЖИТЕ В УВЕДОМЛЕНИИ ФАКТИЧЕСКИЙ АДРЕС, ГДЕ РАБОТОДАТЕЛЬ ХРАНИТ БАЗУ ДАННЫХ. В КАЧЕСТВЕ НАИМЕНОВАНИЯ ОТРАЗИТЕ НАЗВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ.

С 1 сентября 2015 года приказ Минкомсвязи России от 28.08.2015 № 315 внес изменения в Административный регламент. Форму уведомления об обработке персональных данных дополнили графами, куда нужно вписать:
— страну нахождения базы данных;
— адрес ее местонахождения;
— наименование информационной системы (базы данных).

Укажите эти сведения, например, так: «Система 1С, расположенная по адресу: Российская Федерация, г. Москва, индекс 100000, улица Зимняя, дом 10».

Как составить уведомление на несколько информационных систем (баз данных)?

В бумажном уведомлении об обработке персональных данных перечислите сведения о каждой базе.

В компании бывает несколько (иногда несколько десятков) информационных систем (баз данных). Например, по бухгалтерскому учету, обучению работников, их оценке и т. д. Представляется, что нужно указывать информацию по всем таким системам.

В электронной форме уведомления на сайте Роскомнадзора можно указать несколько информационных систем с подробным описанием их характеристик (http://pd.rkn.gov.ru/operators-registry/notification/form/). При этом электронная форма предполагает конкретизацию, которая не предусмотрена ни Законом № 152-ФЗ, ни Административным регламентом. Так, работодателю предлагается отразить, является ли центр обработки данных его собственностью или работодатель использует внешний центр (например, арендует его).

Если в уведомлении в качестве места нахождения базы данных будет указано иностранное государство, то, скорее всего, Роскомнадзор проверит компанию. Тогда велик риск того, что компанию привлекут к административной ответственности. Об этом 11 ноября 2015 года упомянула заместитель руководителя Роскомнадзора А. А. Приезжева на ежегодной конференции, посвященной защите персональных данных (http://zpd-forum.com/programm.html).

Те работодатели, которые отправили уведомление до 01.09.2015, по мнению Минкомсвязи, были обязаны направить в Роскомнадзор сведения о месте нахождения базы данных до 15.09.2015. Такое разъяснение приведено на официальном сайте —http://www.minsvyaz.ru/ru/personaldata/answers/#1438781125045.

Но наказать компанию за непредоставление дополнительной информации о месте нахождения баз данных контролеры не могут — истек 3-месячный срок давности для привлечения к административной ответственности. Более того, с учетом ч. 7 ст. 22 Закона № 152-ФЗ необходимость дополнительного уведомления является спорной. Ведь сведения об операторе (работодателе) и обработке данных остались прежними. Изменились требования закона.

Что делать, если данные из уведомления поменялись?

Если сведения из уведомления изменятся, то отправьте в Роскомнадзор информационное письмо. На это отводится 10 рабочих дней с даты изменений. Форма письма приведена в приложении № 3 к Административному регламенту. Ранее эти сведения работодатель предоставлял в свободной форме.

ВИДЫ НАРУШЕНИЙ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

30


дней — срок для уничтожения электронного резюме после приема на работу или отказа кандидату.

За что чаще всего наказывают работодателей?

Когда работодатели обрабатывают персональные данные работников, то допускают ряд нарушений. Рассмотрим основные ошибки.

Не приняты меры для сохранения персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). В задачи работодателя входит защита персональных данных работников (п. 7 ст. 86 ТК РФ). Часть компаний игнорирует это правило. В итоге документы теряются, к персональным данным получают доступ третьи лица.

Чтобы сохранить персональные данные, например, на бумажных носителях, используйте Положение, утвержденное постановлением Правительства РФ от 15.09.2008 № 687. Для этого:
— определите места хранения личных дел, трудовых книжек, архива. В этих целях используйте локальный акт;
— установите перечень лиц, которые будут обрабатывать персональные данные. В локальном акте укажите должности, например, начальник отдела кадров, бухгалтер по расчету зарплаты. А в приказе — конкретные ФИО работников;
— зафиксируйте меры для сохранности персональных данных. Пропишите, что работники с доступом к персональным данным обязаны использовать ключи для запирания шкафов с такими данными и не передавать их посторонним.

Нет согласия работника на обработку персональных данных. Нередко работодатели обрабатывают информацию о работнике без его письменного согласия. Еще одно нарушение — согласие получено, но его содержание не соответствует требованиям Закона № 152-ФЗ.

В рамках трудовых отношений обрабатывать данные работников можно без согласия. Например, оно не требуется для заполнения и хранения трудового договора или личной карточки. Это следует из п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных…» (далее — Разъяснения).

Но есть исключения. Например, ситуация с анкетами кандидатов. Работодатели часто предлагают соискателям заполнить опросники, анкеты. Чтобы получить согласие соискателя на обработку персональных данных, предусмотрите в электронной форме специальное поле. На это указал Роскомнадзор в абз. 17 п. 5 Разъяснений.

Согласие работника требуется и если работодатель передает расчет зарплаты на аутсорсинг (абз. 2 ст. 88 ТК РФ). В данном случае доступ к персональным данным получает третья сторона. Перед тем, как работник подпишет согласие, проконтролируйте, есть ли в нем обязательный реквизит — название и адрес привлеченной организации, которая будет рассчитывать заработную плату. Она станет лицом, которое будет осуществлять обработку персональных данных по поручению оператора-работодателя.

10

рабочих дней — в такой срок нужно направить в Роскомнадзор письмо об изменении сведений об операторе.

Персональные данные обрабатываются после того, как достигнута цель. Работодатели часто забывают, что у них хранятся персональные данные, которые стали ненужными. Например, резюме кандидатов, которые поступили по электронной почте. Их нужно уничтожить не позднее 30 дней с момента принятия решения о приеме либо отказе в найме (ч. 4 ст. 21 Закона № 152-ФЗ). Оставить электронные документы нельзя, поскольку в законе для них нет сроков хранения. Для большинства бумажных носителей (трудовые договоры, приказы, личные карточки и т. д.) установлены длительные сроки хранения (ст. ст. 19, 657, 658 Перечня, утв. приказом Минкультуры России от 25.08.2010 № 558).

С 01.09.2015 у Роскомнадзора больше свободы при проверках. На них не распространяется Федеральный закон от 26.12.2008 № 294-ФЗ. Но это не абсолютная свобода. Правила проведения проверок установлены в Административном регламенте(утв. приказом Минкомсвязи России от 14.11.2011 № 312). Он во многом базируется на положениях Закона № 294-ФЗ и процессуальные гарантии продолжают действовать. Правительство РФ разрабатывает новый порядок проведения проверок. Но пока он не принят».

10.03.2016



Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.