Правила работы с персональными данными сотрудников — отвечаем на ваши вопросы

Автор: Елена Рыбникова, руководитель отдела контроля качества услуг и методологии

Новые правила работы с персональными данными сотрудников стали одной из самых обсуждаемых тем конференции Интеркомп «Бизнес-практика». По многочисленным просьбам клиентов, мы провели отдельный вебинар, посвященный данной теме. Методологи и юристы Интеркомп постарались ответить на все вопросы, возникшие у участников в ходе вебинара. Предлагаем вашему вниманию подборку самых острых, часто задаваемых вопросов и ответы на них.


E_Rybnikova.png
Елена Рыбникова
Руководитель отдела контроля качества услуг и методологии

При приеме на работу мы берем согласие на обработку персональных данных у сотрудника. Можно ли в нем не указывать дату, до которой согласие действует? Если сотрудник не отозвал свое согласие, можно ли хранить его данные после увольнения?

В рассматриваемой ситуации, если работник не отзывал свое согласие на обработку персональных данных, бывший работодатель не обязан уничтожать копии документов работника в связи с его увольнением.

Имеет ли право работодатель иметь доступ к электронной почте сотрудника (рабочей, разумеется) во время его работы в компании или после увольнения?

Да, имеет право иметь доступ как во время работы, так и после увольнения сотрудника. Корпоративная электронная почта — это собственность компании.

Какую информацию о работнике мы можем сообщать по телефону при звонке из банка (подтверждение занятости для оформления кредита и т. д.)?

По телефону вы имеете право подтверждать занятость. Как правило, банк запрашивает согласие работника (например, при подаче заявки на кредит) или по запросу исполнительных органов РФ (например, приставов).

Какую информацию можно предоставлять банкам по телефону?

Банку по телефону можно ответить на вопрос, работает или нет сотрудник в компании и как давно. Данные о доходах сотрудника, копии его трудового договора, трудовой книжки и иных документов банк имеет право запросить через официальный письменный запрос с указанием ссылки на требования закона РФ, в рамках которого вы можете передать такие данные сотрудника (например, исполнительный лист, судебное решение). В остальных случаях банк должен предоставить копию согласия работника.

В ходе работы мы передаем персональные данные сотрудников в другие компании, например, при заказе билетов в командировки (перевозчики, турагентство и так далее), таких компаний множество. Должны ли мы для каждого такого случая получать согласие от работника на передачу и обработку его данных для каждой компании? Или достаточно указать в Согласии работника «... о передаче данных, содержащих персональные данные третьи лицам, включая банки, налоговые органы, отделения пенсионного фонда, фонда социального страхования, фонда обязательного медицинского страхования, добровольного медицинского страхования и страхования от несчастных случаев, учебным заведениям, частным охранным организациям, уполномоченным агентам и организациям»? Можно ли не конкретизировать наименования организаций, т. к. сегодня мы работаем с одной организацией, завтра будем заключен договор с другой и т. п.

Перечислить всех третьих лиц в согласии вы физически не сможете, так как они меняются, поэтому в рамках раздела «передачи данных» необходимо написать общую фразу, согласно закону. Например: «предоставление персональных данных субъекта третьим лицам осуществляется исключительно в рамках трудовой деятельности работника, а также утвержденных политик компании» (включение в ДМС, покупка санаторно-курортных путевок и т. д.). Важно: при обработке персональных данных не только работника, но и членов его семьи, необходимо получить согласие на обработку данных каждого субъекта (т. е. каждого члена семьи, за несовершеннолетних подписывают их законные представители).

Законно ли хранить копии личных документов сотрудника в личном деле во время его работы в компании?

Да, законно, если в согласии работник подписал вам право не только на обработку, но и на хранение его данных. Не стоит хранить только избыточные персональные данные.

Может ли подпись работника в листе ознакомления с Положением о защите персональных данных являться его согласием на хранение и обработку его данных, если это условие прописано в самом Положении? Или от работника обязательно согласие на обработку данных на отдельном листе?

Нет, подписи в ознакомлении с Положением недостаточно, необходимо получить письменное согласие каждого работника (а в некоторых случаях и членов его семьи).

Какой уровень защищенности персональных данных при их обработке в информационной системе необходимо выбрать компании, занимающейся консалтинговой деятельностью?

Должна быть организована техническая возможность шифрования данных, а также многоуровневый защищенный доступ к таким данным. Система
защиты и шифрования должна соответствовать стандартам РФ и быть лицензирована по правилам законодательства РФ, в частности Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Какой уровень защищенности персональных данных при их обработке в информационной системе вашей компании необходимо выбрать?

Уровень, применяемый для защиты персональных данных определяется с учетом положений Методических рекомендаций, утверждённых ФСБ России 31.03.2015 N 149/7/2/6-432. А именно — проводится анализ каналов связи, степени и уровень защищенности доступа к базам данных и вводится та или иная система защиты.

В Интеркомп система защиты организована для третьей группы — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом. Обработка, хранение и передача специальных и биометрических персональных данных (1 и 2 группы) в рамках деятельности нашей компании не предусмотрена и не осуществляется.

В законе прописано четыре уровня, компания должна определить свой уровень в зависимости от рисков и применить соответствующие методы защиты данных. К какому уровню относится компания, занимающаяся консалтингом?

3 уровень — общедоступные ПД, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом. Обратите внимание, после определения группы данных, необходимо также определить уровень угроз. Как установить тип актуальных угроз, законодательством не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Если работник не хочет оставлять копии личных документов, несмотря на внутренние положения и инструкции: «Смотрите, проверяйте, но не копируйте». Имеет ли право?

Да, имеет, это право работника, и вы обязаны соблюдать его права.

Обязательно ли оформлять ответственного за обработку персональных данных в штат организации? Какой штраф предусмотрен сейчас за отсутствие лица, ответственного за организацию обработки персональных данных в организации?

Да, ответственный сотрудник должен обязательно быть оформлен в штат и на него возлагается ответственность по приказу Компании. Также такой сотрудник должен подписать документ о конфиденциальности.

Штраф варьируется от 30 000 руб. до 75 000 руб. Штрафы налагаются не за отсутствие, а за нарушение правил федерального закона 152-ФЗ.

Персональные данные поверенного в доверенности (которую компания в дальнейшем предоставляет своим клиентам, поставщикам и работникам компании) является общедоступным/публичным документом. Правильно ли считать, что поскольку такой документ является публичным, персональные данные, содержащиеся в доверенности, являются доступными неограниченному кругу лиц?

Да, верно, доверенность выдается для того, чтобы представлять интересы перед третьими лицами.

Для оформления разового пропуска сторонней охранной организации необходимо предоставить ФИО и паспортные данные посещаемого нас клиента. Можем ли мы взять просто письменное согласие о передаче персональных данных этой организации без конкретизации перечня передаваемых персональных данных?

Работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют следующие случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • сделанных сотрудниками общедоступными;
  • полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
  • относящихся к членам (участникам) общественного объединения или религиозной организации;
  • включающих в себя только фамилии, имена и отчества сотрудников;
  • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

Если же предполагается обработка данных работника для других целей, например, предполагается передать данные работника для целей бухгалтерского учёта сторонней организацией по договору аутсорсинга, то в этом случае, уведомление Роскомнадзора обязательно.

Для пропуска сотрудников и гостей на территорию офиса мы ведем журнал посещений, фиксируя ФИО посетителей и паспортные данные. Обязаны ли мы уведомлять Роскомнадзор о том, что храним такой журнал?

Такого рода журнал хранить можно без уведомления в Роскомнадзор. Это напрямую связано с безопасностью.

Достаточно ли взять с работника Согласие о передаче персональных данных третьей стороне, не уточняя, например, что в учебное заведение?

В согласии от работника пишется общая фраза о возможности передачи данных третьей стороне и осуществляется с соблюдением принципов и правил, предусмотренных федеральным законом 152-ФЗ.

Обязательно ли направлять в Роскомнадзор уведомление об обработке персональных данных?

Да, обязательно, согласно п. 3.1. Приказа Роскомнадзора от 30.05.2017 № 94. Уведомление подается оператором до начала обработки персональных данных.

Наша компания не зарегистрирована в Роскомнадзоре, хотя мы передаем данные сотрудников страховым компаниям. Если мы зарегистрируемся сейчас, какие последствия в виде штрафов нас ждут? Нам придется уведомлять органы за прошлые годы? Если да, то за какой период и какие штрафы нас ждут?

Уведомление в Роскомнадзор подается единожды. Просто необходимо сообщить, что вы являетесь оператором. Да, есть риск наложения штрафа, согласно ст. 19.7 КоАП: «влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей».

После регистрации как оператор данных в Роскомнадзоре, какие отчеты или сведения мы должны подавать и с какой регулярностью?

Уведомление в Роскомнадзор подается единожды. Дополнительно никаких отчетов подавать не нужно.

Можно ли передавать данные наших сотрудников в США? Головной офис находится заграницей.

Да, можно, но с соблюдением правил шифровки и защиты передачи данных. Однако, сбор и первичное хранение данных граждан РФ необходимо осуществлять на территории РФ.

В компании используется корпоративный номер телефона. Должны ли мы сообщать оператору сотовой связи персональные данные сотрудников, использующие данные номера? Какая периодичность? Есть ли ответственность?

Нет, не должны. Оператор сотовой связи такие данные не запрашивает. Корпоративная связь оформляется на юридическое лицо без привязки к работникам.

А как же быть с Постановлением Правительства РФ № 1342 ежеквартально представлять оператору связи, заверенный надлежащим образом список лиц, использующих оборудование абонента — юридического лица, содержащий фамилии, имена, отчества, места жительства, реквизиты документа, удостоверяющего личность этих лиц, а в случае изменения фактических пользователей оборудования юридического лица — представлять сведения о новых пользователях не позднее 15 дней со дня п. 25 пп.

Обязанность предоставления персональных данных сотрудников должна быть указана в договоре с оператором связи, если такая обязанность предусмотрена и Компания этот договор подписала, то эти списки должны предоставляться ежеквартально.


Чем поможет Интеркомп:

  • Подготовим требуемую законом N 152-ФЗ документацию;
  • Проанализируем бизнес на предмет соблюдения закона «О защите персональных данных» N 152-ФЗ;
  • Окажем правовую поддержку и сопровождение проверки Роскомнадзора.
 #FORM=order_service_inline=Оставить заявку на консультацию юристов#