Еще до приема на работу нового сотрудника, работодатель начинает работать с его персональными данными. В статье разберем как в организации происходит хранение и обработка персональных данных, а также рассмотрим какая работодателю грозит ответственность за разглашение персональных данных.
- В каких документах содержатся персональные данные
- Ознакомление работника с Положением о персональных данных
- Документы для обработки данных сотрудника
- Согласие на обработку данных сотрудника
- Когда согласие на обработку данных от работника не требуется
- Обязательство о неразглашении и уведомление о получении данных
- Защита персональных данных
- Размещение персональных данных на сайте
- Хранение и обработка персональных данных работника
- Ответственность за разглашение персональных данных
- Законодательная база
В каких документах содержатся персональные данные
При трудоустройстве работник предоставляет работодателю определенные документы. Каждый из этих документов содержит персональные данные (ПД) работника. Как правило при приеме на работу требуются следующие документы:
- Паспорт;
- СНИЛС;
- Трудовая книжка;
- Военный билет;
- Диплом.
В некоторых случаях работодатель запрашивает и иные документы, но только если это установлено действующим законодательством. Такими документами являются медкнижка, ИНН и справка 2-НДФЛ. И каждый из этих документов содержит персональные сведения о принимаемом сотруднике. Специального перечня, к которому можно отнести ПД нет. Под ними понимают такие сведения, по которым работник может быть идентифицирован. То есть это, ФИО, адрес проживания, данные паспорта, квалификация, фото и видео записи с работником и т.д.
Ознакомление работника с Положением о персональных данных
Важно! Еще до момента подписания трудового соглашения, нового работника необходимо ознакомить с Положением о персональных данных (68 ТК РФ).
О том, что работник с ним ознакомился может свидетельствовать подпись:
- В трудовом соглашении;
- В специальном листе ознакомления с Положением;
- В специальном журнале.
Если Положения о ПД в компании нет, его необходимо разработать, утвердить, а затем ознакомить с ним всех сотрудников. В Положении необходимо предусмотреть порядок хранения, обработки ПД и условия доступа к ним (Читайте также статью ⇒ Заявление на обработку персональных данных).
Документы для обработки данных сотрудника
Чтобы работодатель мог работать с ПД, обрабатывать их, необходим определенный перечень документов. Одним из них является согласие на обработку персональных данных. Помимо этого оформляют обязательство о неразглашении данных, а также уведомление в их получении от третьей стороны (Читайте также статью ⇒ Документы для оформления нового сотрудника на работу).
Согласие на обработку данных сотрудника
Согласие на обработку данных работодатель разрабатывает самостоятельно. При этом в согласии указываются те действия, которые компания вправе совершать с ПД сотрудника (закон №152-ФЗ). Подписать согласие работник должен еще до того, как подпишет трудовой договор. Согласие должно быть добровольным со стороны работника.
Важно! Подписывая Согласие работник также подтверждает, что он не против обработки своих данных.
Когда согласие на обработку данных от работника не требуется
Если работодатель передает в банк данные работника с целью начисления заработной платы, то сделать это можно и без соответствующего согласия. Например, если:
- Соглашение на выпуск карты сотруднику напрямую заключается с работником и в этом соглашении содержатся условия, предусматривающие передачу данных;
- На работодателя оформлена доверенность, на основании которой он имеет право представлять интересы сотрудника по заключению договора с банком;
- Оплата труда путем перевода на банковскую карту предусмотрена в коллективном договоре.
Обязательство о неразглашении и уведомление о получении данных
Важно! Сотрудники, которые имеют доступ к личным данным работника, работают с ними, должны оформить обязательство, запрещающее разглашать эти данные.
Как правило это кадровики и работники бухгалтерии. В случае, если они допустят огласку данных, им грозит дисциплинарное взыскание, включая увольнение. Если работодателю требуется получить сведения по работнику у третьей стороны, он должен оформить соответствующее уведомление. В таком уведомлении указываются возможные источники информации, а также способы их получения.
Защита персональных данных
Для того, чтобы обеспечить защиту данных работника необходимо выполнить следующее:
- Разработать положение об обработке ПД, в котором будут закреплены: порядок получения данных, их обработка и хранение;
- Руководитель компании назначает сотрудника, ответственного за работу с ПД. Например, кадровика, который работает с личными делами. От него потребуется получить согласие каждого из работников, вносить данные в карточки и т.д.;
- Разработать бланк согласия на обработку ПД;
- Предоставить физлицу информацию (по его запросу), касающуюся обработки его ПД. Например, подтверждение, что данные прошли обработку, цели и способы обработки данных.
Размещение персональных данных на сайте
Для некоторых организаций размещение в интернете персональной информации по сотрудникам является обязательным. К примеру, медучреждения должны помещать на своих сайтах информацию о своих сотрудниках, включая их образование и квалификацию. То же правило действует и для образовательных учреждений. Они обязаны размещать информацию по учителям и преподавателям. В этом случае согласие на обработку данных от сотрудника не требуется, так как размещение информации предусмотрено законом.
Хранение и обработка персональных данных работника
Обработка данных предполагает любые действия, которые с ними совершаются, с использованием или без средств автоматизации. К ним относят: сбор данных, их запись, систематизацию, накопление, обновление, хранение, извлечение и использование, включая передачу, обезличивание, блокировку, удаление и уничтожение. Таким образом получение данных, требуемых для заполнения личной карточки работника и трудового договора, а также их хранение относят к обработке персональных данных.
Ответственность за разглашение персональных данных
До недавнего времени штраф предусматривался только одного вида (13.11 КоАП РФ), который составлял 5000 – 10000 для организаций и 500 – 1000 рублей – для должностных лиц. С июля 2017 года установлено 6 разновидностей ответственности работодателя, причем за разные виды нарушений на работодателя могут наложить одновременно несколько штрафов. Рассмотрим основные из них:
Нарушение | Ответственность | ||
Для компаний | Для ИП | Для должностного лица | |
Незаконная обработка данных | 30 000 – 50 000 | 5 000 – 10 000 | |
Не получили согласие сотрудника | 15 000 – 75 000 | 10 000 – 20 000 | |
В свободном доступе не размещена политика об обработке ПД | 15 000 – 30 000 | 5 000 – 10 000 | 3 000 – 6 000 |
Работнику не предоставлена информация по обработке его ПД | 20 000 – 40 000 | 10 000 – 15 000 | 4 000 – 6 000 |
За разглашение ПД, используя свое служебное положение, должностным лицам грозит штраф в размере 4000 – 5000 рублей (13.11 КоАП, 13.14 КоАП). Кроме того, статьей 137 УК РФ предусмотрена уголовная ответственность за разглашение ПД работника, согласно которой разглашение персональной информации грозит штрафом от 100 до 300 тыс. рублей.
Законодательная база
Закон №152-ФЗ от 27.07.2006 | «О персональных данных» |
Статья 13.11 КоАП | «Нарушение законодательства РФ в области персональных данных» |
Статья 137 УК РФ | «Нарушение неприкосновенности частной жизни» |