Содержание:
- Кто такой оператор и что такое обработка
- Когда спрашивать разрешение на обработку
- Как отвечать на запросы сотрудников
- Какую информацию можно собирать
- Какие ПД обрабатывать нельзя
- Можно ли хранить данные уволенных сотрудников
- Правила по биометрическим данным
- Где должна быть политика обработки ПД
- Про взаимоотношения с Роскомнадзором
- А это вообще реально — выполнить все требования?
Любой работодатель собирает и хранит персональные данные сотрудников. А значит, является оператором данных и обязан соблюдать требования закона №152-ФЗ «О персональных данных».
Казалось бы, закон всего один, но по нему там много вопросов и неясностей. Можно ли хранить данные работников после увольнения? А что если разместить фото сотрудника на сайте без разрешения? Мы изучили закон и рассказываем, как в нем не запутаться.
Кто такой оператор и что такое обработка
К персональным данным относится любая информация, касающаяся работника: место и дата рождения рождения, данные СНИЛС, сведения о воинском учете.
Даже «Петр Петрович Петров» без какой-либо дополнительной информации Роскомнадзор считает ПД, если по этому ФИО можно установить личность. Работодатель сталкивается с персональными данными, когда принимает резюме, передает охраннику информацию для оформления пропуска, отправляет сведения в пенсионный фонд, заказывает зарплатные карты у банка.
Что относится к персональным данным, согласно 152-ФЗ
Под обработкой понимается любое действие с данными. Например, создание копии паспорта соискателя при оформлении трудового договора.
Следит за выполнением требований по 152-ФЗ Роскомнадзор. Ведомство может выписать штраф нарушителю или даже остановить работу организации.
Когда спрашивать разрешение на обработку
При оформлении соискателя на работу работодателю не обязательно спрашивать у него согласие на получение таких ПД как: место регистрации, дата рождения, ФИО. Подписывая трудовой договор, соискатель уже соглашается с этим.
Не нужно просить согласие и при передаче информации в военкомат, налоговую инспекцию, пенсионный фонд, прокуратуру и другие государственные органы.
В любых других случаях разрешение нужно. И для передачи сведений в банк, и для публикации контактных данных сотрудника на сайте.
Пример нарушения: школа публикует без согласия на своем сайте ФИО и должность педагога, список предметов, которые он преподает.
Как отвечать на запросы сотрудников
Работодатель обязан предоставлять сотрудникам информацию об их ПД и действиями, которые с ними совершают. Если бухгалтер отказался выдать расчетный лист или сведения о страховом стаже, работник вправе пожаловаться в РКН, и компанию оштрафуют.
Нельзя игнорировать требования сотрудников по обновлению или уничтожению персональных данных.
Пример нарушения: фирма публиковала на сайте данные о своих специалистах. Один из них уволился и потребовал убрать информацию. Компания отказалась и получила штраф — 90 000 рублей.
Какую информацию можно собирать
Работодатель не должен собирать сведения, не относящиеся напрямую к трудовой деятельности. Например, его не должна интересовать информация о религиозных и политических предпочтения, заболеваниях, жилищных условиях. Все это входит личную тайну гражданина, человек не обязан никому ее разглашать.
Пример нарушения: автосалон собирал справки у сотрудников об отсутствии судимости. Лишь некоторым организациям разрешено запрашивать такие справки, например образовательным учреждениям.
Какие ПД обрабатывать нельзя
Работодатель обрабатывает только те данные, которые отвечают обозначенным целям. Цель обработки должна быть четкой и однозначной. Если собираетесь передавать ПД в банк, в согласии пишите «в целях перечисления мне заработной платы».
Пример нарушения: фирма запрашивала копии дипломов при оформлении сотрудников, а затем выложила их на сайт, чтобы подтвердить квалификацию. Действие не соответствует целям обработки, которые были указаны в уведомлении РКН.
Можно ли хранить данные уволенных сотрудников
Как только трудовые отношения с работником расторгнуты, оператор (работодатель) достиг цели обработки ПД. А значит должен прекратить обработку данных уже бывшего сотрудника.
Если соискателя не взяли на работу, всю личную информацию, которую он предоставил, следует уничтожить в течение 30 дней с момента получения.
Пример нарушения: компания передала коллекторскому агентству данные уволенного несколько лет назад сотрудника.
Правила по биометрическим данным
По новым правилам работодатель не имеет права требовать от сотрудника биометрические данные. К ним относятся отпечатки пальцев, фото лица, изображение сетчатки глаза.
Пример нарушения: работодатель требовал у сотрудников биометрические данные для терминала на проходной, не оформив при этом дополнительное соглашение к трудовому договору.
Где должна быть политика обработки ПД
У сотрудников должен быть свободный доступ к этому документу. Можно повесить документ на доске в офисе, но лучше всего опубликовать на сайте, чтобы каждый смог зайти на страницу и ознакомиться с ним.
Про взаимоотношения с Роскомнадзором
Каждый работодатель уведомляет РКН перед началом обработки. Он предоставляет информацию о том, чем занимается, какие ПД обрабатывает и кто отвечает за обработку. Форма уведомления есть на сайте ведомства.
Роскомнадзор часто устраивает проверки — плановые и внеплановые.
РКН обязательно проверяет:
- наличие организации в реестре операторов;
- документы, в котором содержатся персональные данные (анкеты, заявления и прочее);
- политику обработки данных;
- наличие локальных актов и исполнение положений в этих актах;
- месторасположение баз данных, где хранятся ПД.
Сама проверка может длиться до 20 дней. На подготовку дается очень мало времени, особенно при внеплановой проверке — всего 24 часа. О плановой предупреждают всего за три рабочих дня.
А это вообще реально — выполнить все требования?
Да, но придется сильно постараться. На работодателя ложатся все обязанности оператора данных: нужно и политику конфиденциальности продумать, и зарегистрироваться в РКН, и выполнить еще множество требований. Возможно, потребуется еще отдавать деньги юристам за разработку необходимого пакета документов.
| Читайте по теме: Ответственность за нарушение закона о персональных данных |