- Образование

Обязательство о неразглашении персональных данных работников 2021

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обязательство о неразглашении персональных данных работников 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Обязательство о неразглашении персональных данных работников
2. Новые правила с 2021 года
3. Обязательство о неразглашении персональных данных
4. Приказ о защите персональных данных работников
5. Персональные данные: март 2021 года – что НЕ надо делать многим работодателям
6. Ответы Роскомнадзора на вопросы о персональных данных
7. Составляем обязательство о неразглашении персональных данных

Такой доступ имеют многие:

  • главный бухгалтер — для начисления зарплаты, удержания НДФЛ;
  • менеджер по работе с клиентами — доступ к информации о клиентах компании;
  • начальник отдела кадров — при оформлении человека на работу;
  • руководитель компании — при ознакомлении с личными делами работающих, с резюме и т. д.

Можно назначить одного или нескольких сотрудников в качестве ответственных за неразглашение персональных данных и организацию их обработки. Число таких сотрудников на уровне закона не оговорено. Но в их обязанности входит:

  • контроль за соблюдением оператором и его работниками Федерального закона от 27.07.2006 № 152-ФЗ и других подзаконных актов;
  • доведение до сведения работающих положения законодательства и локальных актов о персональных данных;
  • организация приема и обработки обращений и запросов субъектов персональных данных.

Обязательство о неразглашении персональных данных работников

Право ответственных лиц получать конфиденциальные данные граждан необходимо оформить документально.

Приказом по предприятию ответственного сотрудника обязывают, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также об осуществлении работниками их трудовых прав. Образец приказа о неразглашении персональных данных можно скачать в конце статьи.

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации.

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

При проверках контролеры обращают внимание на наличие документации и ее корректность, выполнение требований в реальной жизни. Так, организации должны учитывать, что запрещено:

  • разглашать сведения о премии и заработной плате работников;
  • передавать личную информацию любым партнерам;
  • терять сведения или оставлять их без присмотра;
  • отказываться выдавать справки, связанные с трудовой деятельностью сотрудников.

Пленум Верховного суда РФ в п. 43 постановления «О применении…» от 17.03.2004 № 2 указывает на то, что бремя доказывания факта получения обязательства по неразглашению персональных данных работника ложится на работодателя. Такая необходимость появляется при возникновении спорных ситуаций (например, при увольнении работника по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Именно поэтому обязательство о неразглашении персональных данных работников стоит оформлять в письменном виде. Этот документ станет неоспоримым доказательством того, что ответственный сотрудник действительно знал о необходимости сохранения конфиденциальности полученных им сведений. Кроме того, оформление документа позволит работодателю избежать ответственности, о которой расскажем ниже.

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Обязательство о неразглашении персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

О персональных данных в РФ информируют:

  • Конституция России.
  • Трудовой кодекс.
  • Федеральный закон «О персональных данных» №152-ФЗ.
  • Кодекс об административных правонарушениях.
  • Уголовный кодекс.

Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.

Трудовой кодекс говорит о том, что сбор персональных данных работника кадровиком или руководителем может проводиться исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».

В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.

КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.

Об общих требованиях к обработке персональных данных и основных нормативных актах читайте в этом материале.

Обычно выделяют четыре вида персональных данных, хотя в законах такой классификации нет:

  1. Категория биометрических персональных данных. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
  2. В специальную категорию персональных данных входят раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно.
  3. Иные. Не вошедшие в эти категории.

Важно!

До 1.03.2021 года в законе существовало понятие «общедоступные персональные данные». Это понятие упразднено. Теперь это звучит так — «персональные данные, разрешенные субъектом для распространения». То есть — никто не вправе распространять личную информацию о субъекте без его согласия на это. Более того, даже если сам субъект распространит свои персональные данные или они будут опубликованы в другом источнике, транслировать их можно только с его прямого согласия.

Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.

Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.

Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре. Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным. Все упомянутые лица должны подписать обязательство о неразглашении данных.

Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.

Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.

Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:

  • обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
  • обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
  • оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
  • однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).

О требованиях к локальным актам, систематизирующим обработку персональных данных в организации, читайте нашу статью.

Приказ о защите персональных данных работников

Ответственность за неправильное или небезопасное хранение данных очень серьезная. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.

Административная ответственность

До 75 тысяч рублей штрафа работодатель может заплатить за:

  • сбор и обработка избыточной информации;
  • отсутствие согласия работника на обработку данных;
  • доступ третьих лиц к персональным данным сотрудников;
  • игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).

Уголовная ответственность

По статье 137 УК РФ:

  • Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
  • То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.

Читайте об ответственности за разглашение ПДн в этом материале.

Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. К личным данным также причисляются вероисповедание, национальность, внешние особенности, финансовое и семейное положение, отношения с законом (наличие или отсутствие судимостей), а также некоторые факты из биографии.

Защита персональных сведений – одно из важнейших условий обеспечения безопасности гражданина. Она необходима на каждом уровне его взаимодействия с социумом: при устройстве в детский сад, школу, ВУЗ, пользовании медицинскими и социальными услугами, трудоустройстве. Любое учреждение или организация, которая имеет дело с личной документацией человека, должна гарантировать ему сохранение персональной информации и невозможность ее распространения. Таким образом, достигается предотвращение неправомерного использования этих данных, а также их применение в корыстных и иных злонамеренных целях.

Меры по защите персональных данных регламентируются законодательством РФ. В частности, на каждом предприятии, которое нанимает работников, а, значит, имеет дело с их личными сведениями, должен быть сотрудник, который несет за них ответственность.

В случае разглашения персональной информации именно с него и будет спрос. Если такового работника нет, то ответственность автоматически перекладывается на директора компании. Кроме того, в организации должны быть разработаны регулирующие нормативно-правовые акты, в том числе соответствующие положение и приказ.

На сегодня формат приказа может быть произвольным: это обозначает, что его можно писать в свободном виде. Но если руководство предприятия разработало и утвердило свой стандарт документа, обязательный к применению, то руководствоваться, конечно, следует именно им. При этом форма приказа должна быть обозначена в нормативно-правовых бумагах компании.

К оформлению бланка, ровно как к его формату, никаких особых условий не предъявляется. То есть документ можно делать на бланке с фирменным логотипом и реквизитами или на простом листе бумаги. Текст может быть как печатным, так и рукописным, правда в первом случае его надо распечатать (для простановки в нем нужных подписей). Приказ формируется в одном оригинальном экземпляре, но если требуются дополнительные его копии, то документ можно размножить (например, для передачи в заинтересованные структурные подразделения).

Свои подписи в приказе о защите персональных данных работников должны поставить несколько человек. Самый первый автограф: директора организации, поскольку именно от его лица выпускаются все распоряжения такого уровня.

Следующая подпись: работника, на которого возлагается контроль за исполнением приказа и, наконец, в нем должны расписаться сотрудники, в нем упомянутые (если только их подписи не будут собраны в отдельном акте об ознакомлении).

Печать в документе ставить в обязательном порядке не требуется, но она нужна в том случае, если условие о ее использование для визирования внутренней распорядительной документации есть в учетной политике компании.

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Персональные данные: март 2021 года – что НЕ надо делать многим работодателям

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Кроме обязательства о неразглашении, работодатель, в соответствии со статьей 8 ТК РФ, может заключать с профильным персоналом соглашение о неразглашении персональных данных работников, образец которого отличается от простого обязательства тем, что в нем указаны обе стороны процесса — как работодатель, так и сотрудник.

Обязательство о неразглашении данных составляется в письменной форме. Чаще всего его текст набирается на компьютере, распечатывается и передается лицу, которое будет заниматься обработкой, для ознакомления и подписания (под текстом проставляется дата, подпись и ее расшифровка).

Важно! В законе нет положений, предусматривающих составление обязательства о неразглашении в письменной форме.

Что должно быть указано в тексте обязательства, установлено в п. 6.6 Положения.

Важно! Установленного законом бланка в данном случае не существует.

Обычно в тексте расписки подписант подтверждает следующее (см. приговор Заднепровского районного суда г. Смоленска от 06.02.2018 по делу № 1-173/2017):

  • ему известно о получении им доступа к личным сведениям физических лиц в связи с исполнением трудовых обязанностей;
  • он не имеет права разглашать защищаемую информацию и передавать ее третьим лицам;
  • он незамедлительно уведомит руководителя, если ему станет известно о попытке получения или получении незаконным образом конфиденциальных сведений о сотрудниках.

Обратите внимание! Условия обязательства должны соответствовать правилам положения о персональных данных, утвержденного в организации.

Ответы Роскомнадзора на вопросы о персональных данных

Основной статьей о неразглашении персональных данных, обобщающей существующие наказания за незаконную обработку, является ст. 90 Трудового кодекса РФ. В ней указаны все виды ответственности для виновных лиц:

  1. Дисциплинарная. В силу ст. 90 ТК РФ к работнику, нарушившему правила обработки, может быть применено дисциплинарное взыскание. Допустимо даже увольнение по этому основанию (подп. «в» п. 6 ст. 81 ТК РФ).
  2. Материальная. В обязательстве можно установить конкретные размеры штрафов за несоблюдение требований по обработке (раздел XI ТК РФ).
  3. Гражданская. В ст. 15, 151 ГК РФ установлены общие правила возмещения убытков и компенсации морального вреда лицом, причинившим вред.
  4. Административная (ст. 13.11 КоАП РФ).
  5. Уголовная. Подробнее — в материале «Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?».

Расписка о неразглашении персональных данных аналогична обязательству, о котором речь пойдет ниже.

В то же время положение о работе с персональными данными представляет собой локальный правовой акт либо же, как вариант, он может быть включен в качестве раздела в Правила внутреннего распорядка в организации. Он разрабатывается юридическим отделом предприятия, а подпись на нем ставит генеральный директор компании, тем самым вводя этот документ в действие.

г. Саранск 31 октября 2022 г.

понимаю, что получаю доступ к персональным данным работников ИП Шулягина Игоря Валентиновича и во исполнение своих трудовых обязанностей согласно занимаемой должности осуществляю их обработку, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение, использование и передачу.

Я понимаю, что разглашение такого рода информации может нанести прямой ущерб работникам ИП Шулягина Игоря Валентиновича, а также самому индивидуальному предпринимателю.

В связи с изложенным даю обязательство при обработке персональных данных работников ИП Шулягина Игоря Валентиновича строго соблюдать требования действующего законодательства, определяющего порядок обработки персональных данных, а также Положения о персональных данных, утвержденного приказом от 11.02.2020 г. Я подтверждаю, что при отсутствии условий, предусмотренных действующим законодательством, не имею права разглашать сведения о работниках, относящиеся к категории их персональных данных, в том числе сведения о биографических, анкетных, паспортных данных, трудовом и общем стаже, образовании, заработной плате, занимаемой должности и т.п.

Я предупреждена о том, что в случае нарушения мною требований действующего законодательства и (или) Положения о персональных данных, в том числе в случае незаконного разглашения или утраты персональных данных работников, я несу ответственность в соответствии с действующим законодательством, в частности ст. 90 Трудового кодекса РФ.

Не все сотрудники организации имеют доступ к персональным данным других работников. Но есть работники, которые в силу занимаемой должности обязаны иметь такой доступ.

И заниматься сбором и обработкой персональных данных. Во-первых, это всегда руководитель организации (индивидуальный предприниматель).

Это сотрудники кадрового отдела и бухгалтерии. В транспортной компании доступ к данным водителя часто могут иметь логисты.

И так далее.

Поэтому обязательство о неразглашении персональных данных оформляет далеко не каждый человек. А только тот, у кого есть доступ к персональным сведениям других работников в силу выполняемой трудовой деятельностью.

В соответствии с трудовым договором. На всех остальных работников распространяются общие правила обработки категорий персональных данных.

Закон запрещает сотрудникам разглашать сведения, которые стали им известны в связи с выполнением трудовых обязанностей.

Работодатель обязан определить перечень лиц, который будут иметь доступ к персональным данным. И уровень доступа – без ограничений, к данным водителя и т.д.

Работодатель в силу ст. 88 ТК РФ обязан предупредить лиц, которые получают персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Он вправе требовать от таких лиц подтверждения того, что это правило соблюдено.

В силу той же ст. 88 ТК РФ лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

В силу ст. 2, 7 закона от 27.07.2006 № 152-ФЗ (далее — закон № 152) любой оператор персональных данных обязан защищать обрабатываемую им информацию от незаконного распространения.

Пример обработки личных сведений: работодатель в лице специалиста кадровой службы заполняет трудовую книжку, личную карточку и т. п. на своего работника. Оператором тут будет организация, субъектом — специалист, на которого заполняются документы, а лицом, осуществляющим обработку, — кадровик.

Для того чтобы произвести обработку (сбор, хранение и т. д.) персональных данных работника, организации необходимо получить на это согласие от этого специалиста. Подробнее о согласии вы узнаете из материала «Согласие на обработку персональных данных — образец».

В силу п. 6.6 Положения об особенностях обработки персональных данных, утв. постановлением Правительства РФ от 15.09.2008 № 687 (далее — Положение), оператор обязан заранее предупредить сотрудника, которому будет поручено фактическое осуществление обработки:

  • о самом факте его работы с информацией в рамках закона № 152;
  • всех установленных законом и локальными актами правилах, связанных с выполнением порученных ему действий.

Такое предупреждение обычно оформляется в виде обязательства о неразглашении персональных данных работников.

Обязательство о неразглашении данных составляется в письменной форме. Чаще всего его текст набирается на компьютере, распечатывается и передается лицу, которое будет заниматься обработкой, для ознакомления и подписания (под текстом проставляется дата, подпись и ее расшифровка).

Важно! В законе нет положений, предусматривающих составление обязательства о неразглашении в письменной форме.

Однако именно такое оформление, прочно укрепившееся в обычаях делового оборота, легко позволяет доказать факт соблюдения оператором требований, установленных п. 6.6 Положения.

Важно! Вместо обязательства о неразглашении личной информации может быть оформлено такое же соглашение.

Разница между этими документами будет только в том, что первое является некой распиской конкретного лица, а второе отражает договоренность двух сторон (например, работодателя и сотрудника).

Что должно быть указано в тексте обязательства, установлено в п. 6.6 Положения.

Важно! Установленного законом бланка в данном случае не существует.

Обычно в тексте расписки подписант подтверждает следующее (см. приговор Заднепровского районного суда г. Смоленска от 06.02.2018 по делу № 1-173/2017):

  • ему известно о получении им доступа к личным сведениям физических лиц в связи с исполнением трудовых обязанностей;
  • он не имеет права разглашать защищаемую информацию и передавать ее третьим лицам;
  • он незамедлительно уведомит руководителя, если ему станет известно о попытке получения или получении незаконным образом конфиденциальных сведений о сотрудниках.

Обратите внимание! Условия обязательства должны соответствовать правилам положения о персональных данных, утвержденного в организации.

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Составляем обязательство о неразглашении персональных данных

Соответственно в организациях разработкой документа занимается кадровая служба. Обязательство составляется для того, чтобы работодатель смог защитить себя и работников от недобросовестных подчиненных. При устройстве на работу некоторые сотрудники получают полный доступ к сведениям о семье, месте проживания, опыте работы, доходах, заболеваниях своих коллег (какая еще информация считается персональными данными читайте тут, а какие сведения могут входить в понятие ПД мы рассказывали здесь).

Таким образом, пакет стандартных кадровых документов работодателя должен содержать форму обязательства о неразглашении персональных данных. На уровне документального оформления отношения субъекта и оператора выглядят так: субъект дает согласие на обработку данных, а оператор принимает на себя обязательство о неразглашении.

Обязательство о неразглашении персональных данных работника подписывает гражданин, который так или иначе привлекается к их обработке.

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Уведомлять Роскомнадзор не нужно, если ПД:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;

Персональные данные сотрудника: как с ними работать

  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными;
  • включают только ФИО субъектов ПД;
  • нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В бумаге перечисляются виды ответственности работника, касающиеся:

  • знания и соблюдения требований, предусмотренных законом по получению, хранению, передаче и обработке информации, которая содержит личные данные;
  • сохранения в тайне полученных сведений;
  • соблюдения нормативных и правовых актов;
  • в ситуации исчезновения либо потери персональных данных о сотруднике организации нужно незамедлительно сообщить об этом руководителю для принятия соответствующих мер.

Ответственный сотрудник заверяет подписью бумагу, тем самым соглашаясь с названными пунктами. Оригинал документа оставляют на руках у директора предприятия, а копию передают лицу, подписавшему договор.

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания ПД;
  • в отношении общедоступных ПД;
  • если данные включают только ФИО субъектов ПД;
  • для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *