Как рекрутеру не нарушить закон о персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как рекрутеру не нарушить закон о персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

• фамилия, имя, отчество;
• пол, возраст;
• паспортные данные, СНИЛС, ИНН;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• номер телефона или электронная почта;
• прочие сведения, которые могут идентифицировать человека.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

1. паспорт гражданина РФ (или иной документ для подтверждения личности);
2. трудовую книжку;
3. ИНН и СНИЛС;
4. диплом об образовании или квалификации;
5. документы о воинской обязанности.

Комментарий к ст. 88 ТК РФ

1. В комментируемой статье сформулированы требования, которые обязан соблюдать работодатель при передаче персональных данных работника. Работодатель по общему правилу не вправе сообщать кому бы то ни было персональные данные работника без его письменного согласия. Исключения из этого правила могут устанавливаться специальными законами.

2. Законодательством РФ прямо предусматриваются случаи, когда работодатель обязан передать персональные данные работников специально уполномоченным лицам и организациям.

Так, в соответствии с Законом об индивидуальном учете работодатели, являющиеся страхователями, представляют в соответствующий орган Пенсионного фонда РФ сведения обо всех лицах, работающих у них по трудовому договору, а также заключивших договоры гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы, за которых они уплачивают страховые взносы. Документы в электронной форме, содержащие указанные сведения, должны быть заверены электронной цифровой подписью.

Статья 6 этого Закона уточняет, что к сведениям, сообщаемым органам Пенсионного фонда РФ, относятся:

— фамилия, имя, отчество; фамилия, которая была у застрахованного лица при рождении;

— дата рождения;

— место рождения;

— пол;

— адрес постоянного места жительства;

— серия и номер паспорта или удостоверения личности, дата выдачи указанных документов, наименование выдавшего их органа;

— гражданство;

— дата регистрации в качестве застрахованного лица.

Приведенный перечень не является исчерпывающим.

В соответствии с Законом о воинской обязанности воинский учет граждан осуществляется по месту их жительства военными комиссариатами, которые вправе запрашивать у работодателей сведения, содержащие персональные данные лиц, подлежащих воинскому учету.

Правом требовать от работодателей информацию, в т.ч. информацию о персональных данных работников, обладают органы прокуратуры, полиции, государственной инспекции труда.

3. В некоторых случаях работодатели могут передать персональные данные работников при осуществлении дополнительного медицинского страхования работников. При этом порядок передачи персональных данных должен быть осуществлен только с письменного согласия работников в порядке, определенном приказом работодателя или локальным нормативным актом, принимаемым работодателем в целях защиты персональных данных работников.

4. Для сохранения режима конфиденциальности в отношении персональных работников работодатель обязан определить перечень лиц, которые в силу заключенного с ними трудового договора и возложенных на них трудовых обязанностей имеют право работать с персональными данными работников.

В должностные инструкции таких работников должны быть включены положения, регламентирующие права, обязанности и ответственность данных лиц, возникающую при работе с персональными данными работников.

В частности, в организации должны быть назначены ответственные за обработку персональных данных; в обязанности этих лиц могут быть включены полномочия на обработку персональных данных, осуществление взаимодействия с субъектами персональных данных, хранение, использование и удаление персональных данных, обеспечение безопасности персональных данных.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

• сбор;
• фиксация;
• систематизация;
• накопление;
• сбережение;
• защита;
• передача;
• использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
3. Выбирать способы обработки нужно в соответствии с заявленными целями.
4. Все требования касаются только полных и достоверных персональных данных.
5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Что я могу узнать об обработке своих персональных данных?

Согласно Федеральному Закону «О защите прав потребителей», вы имеете право требовать предоставление информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных. Продавец должен предоставить такую информацию в течение семи дней со дня предъявления указанного требования в письменной форме, а в устной форме такая информация должна быть предоставлена незамедлительно.

Положения 152-ФЗ гласят, что вы имеете право запросить у оператора (и получить ответ в срок не более 10 рабочих дней) информацию, связанную с обработкой ваших персональных данных, а именно:

1. Подтверждение факта обработки

2. Правовые основания и цели обработки

3. Цели и применяемые оператором способы обработки

4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона

5. Обрабатываемые персональные данные, относящиеся к вам, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6. Сроки обработки, в том числе сроки хранения

7. Порядок осуществления вами прав, предусмотренных 152-ФЗ

8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных

9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу

10. Информацию о способах исполнения оператором обязанностей, установленных 152-ФЗ

11. Иные сведения, предусмотренные 152-ФЗ или другими федеральными законами

Если после вашего запроса информации, связанной с обработкой ваших персональных данных, вы считаете, что оператор использует их незаконно (например, передает третьим лицам) и/или эти действия ущемляют ваши интересы, то вы можете:

• уточнить свои персональные данные, направив верную на текущий момент информацию (оператор обязан обеспечить уточнение в течение семи рабочих дней со дня представления таких сведений, а до этого заблокировать такие данные);

• отозвать согласие на обработку персональных данных с пометкой причины отзыва (неправомерной обработки – оператор обязан прекратить неправомерную обработку в срок, не превышающий трех рабочих дней с даты выявления).

Что делать, если обработка персональных данных проводится не на основании согласия, но я все равно хочу ее прекратить?

Рассмотрим несколько случаев.

Вы – клиент по договору и на основании договора (без отдельного согласия) уже передали оператору персональные данные в большем объеме, чем вам хотелось бы.

Вам необходимо детально изучить необходимые персональные данные для исполнения договора. Если на ваш взгляд, данных обрабатывается больше, чем требуется, написать обращение оператору о прекращении им обработки ненужных по отношению к исполнению договора персональных данных. Срок ответа на такое обращение не более 10 рабочих дней.

Вы соискатель или работник и ваши персональные данные обрабатываются исключительно на основании ТК РФ.

Без определенных персональных данных устроиться на работу не получится. Перечень документов определен ст. 65 ТК РФ. Однако работодатель не имеет право требовать от претендента на вакансию или работника предоставление персональных данных, превышающих необходимый объем (ч. 3 ст. 65 ТК РФ). Работник также имеет право полную информацию об их персональных данных и обработке этих данных (ст. 89 ТК РФ).

Если работодателю необходимы дополнительные данные, не связанные с трудоустройством, например, номер вашей банковской карты для зачисления туда заработной платы, то необходимо оформить согласие на обработку персональных данных для соответствующей цели. При расторжении трудового договора вы вправе написать заявление и отозвать согласие.

А вот данные, предоставленные при трудоустройстве, отозвать и удалить не получится. Они обрабатывались на основании ТК РФ, а значит продолжат обрабатываться и храниться в течение установленного времени. Потом их обработку продолжат в соответствии с требованиями законодательства в области архивного делопроизводства.

Вы не предоставляли свои данные, но их используют в рекламных или прочих целях.

Предположим, вам систематически названивают с предложением услуг или присылают персональные предложения на скидку. А может звонят коллекторы, чтобы заставить кого-то заплатить долг. Нужно уточнить, откуда получены ваши персональные данные.

Если данные получены от третьих лиц или из «открытых» источников, то вы можете подать жалобу в Роскомнадзор на незаконную обработку персональных данных, потому что право предоставлять ваши персональные данные имеете только вы или ваш законный представитель, оформленный соответствующим образом. Например, для несовершеннолетних детей – родители; для всех – человек, действующий на основе доверенности с правом совершать действия от имени субъекта персональных данных.

Изучите отношения компании с работниками

Если работодатель нарушил федеральный закон о персональных данных, работник вправе подать исковое заявление в суд. Решение суда выносится не в пользу нанимателя, наоборот, он обязан возместить истцу моральный ущерб и соблюдать законодательство. В дальнейшем, нечестивую организацию будут неоднократно проверять и держать на контроле соответствующие органы, а потенциальным сотрудникам не стоит опасаться за свои персональные данные.

Судебные тяжбы работодателя со своими подчиненными можно узнать, исходя из судебной практики организации: были ли споры, связанные с персональными данными или нет. Наконец, существует большое количество сайтов, где можно почитать отзывы сотрудников о любой организации.

Если у компании в наличии огромное количество трудовых споров по персональным данным (передача посторонним лицам, утеря или разглашение), необходимо задуматься о правильности выбора данного места работы.

Что такое персональные данные

Четкое определение понятия персональных данных приведено в части первой статьи 3 Закона № 152 от 27.07.2006 года «О персональных данных». Это любая информация, прямо или косвенная относящаяся к физическому лицу.
Иными словами, персональными данными является абсолютно все – от имени человека до сведений, содержащихся в его трудовой книжке. Сюда же входят данные о доходах, семейном положении, адресе проживания и так далее.

При этом закон предусматривает градацию таких данных на общедоступные, то есть фамилия, имя, отчество, дата, год и место рождения, номер телефона и профессия, биометрические – физиологические особенности, и персональные данные, отнесенные к специальной категории – национальность, расовая принадлежность, вероисповедание, состояние здоровья и в последнее время еще и сексуальная ориентация и прочие сведения об интимной стороне жизни.

Если общедоступные персональные данные могут использоваться кем угодно по собственному усмотрению в рамках закона, а также общепринятых норм этики и морали, то биометрические – только в целях установления личности человека при отсутствии документов. Использование персональных данных специальной категории допускается исключительно с согласия их носителя.

Ответственность работодателя за незаконное разглашение персональных данных

Случаи, когда работодатель пренебрежительно относятся к нормам закона, предусматривающего обязанность сохранения в тайне персональных данных работника, отнюдь не редки. На вопрос о том, в каких случаях разглашение персональных данных является неправомерным, ответ однозначен – во всех, при которых не было получено согласие их носителя.

Чаще всего распространению подвергается информация о доходах сотрудников, что, безусловно, может иметь негативные последствия. Ответственность за совершение подобных действий варьируется от дисциплинарной до уголовной. Поэтому работник, которому стало известно о разглашении своих персональных данных работодателю, вправе обратиться за защитой в правоохранительные органы.

Однако эффективнее всего будет подача жалобы в региональное управление Роскомнадзора – органа, призванного осуществлять защиту прав физических лиц в сфере обработки их персональных данных. В случае, если доводы жалобы будут подтверждены, Роскомнадзор либо самостоятельно привлечет недобросовестного работодателя к административной ответственности по статье 13.14 КоАП России, либо передаст собранные материалы в прокуратуру для решения вопроса о возбуждении уголовного дела по ст. 137 УК РФ.

Доказать факт незаконного распространения личной информации непросто, но вполне возможно. Для этого необходимо заручиться показаниями свидетелей и очевидцев, а также, представить письменные или электронные подтверждения, если они имеют место быть. Идеальный вариант – поддержка со стороны лица, получившего незаконно разглашенные сведения.

Требовать справку о здоровье или судимости ― законно?

В некоторых случаях справка о состоянии здоровья ― обязательное условие для трудоустройства. Медосмотр должны пройти:

• работники общепита, магазинов и общежитий;

• водители;

• медики;

• педагоги;

• парикмахеры;

• спортсмены;

• несовершеннолетние работники;

• специалисты вредных производств;

• сотрудники предприятий Крайнего Севера.

Представители остальных профессий не обязаны сообщать работодателю ни о беременности, ни о физических или ментальных нарушениях.

Со справками о судимости, административных правонарушениях и наказаниях за употребление наркотиков та же ситуация. Об этом точно спросят сотрудников:

• школ и детских садов;

• частных охранных предприятий;

• работников полиции, Росгвардии, прокуратуры, ФСБ, ФСИН;

• специалистов транспортной сферы, в том числе железной дороги, авиации, морского и речного судоходства;

• сотрудников клиринговых организаций;

• руководителей и главных бухгалтеров.

Какие требования должен соблюдать работодатель при передаче персональных данных работника?

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
• осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Защита персональных данных

Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.

К исключениям относятся:

• только ФИО субъектов;
• трудовые отношения;
• договорные отношения;
• общедоступные персональные данные;
• однократные пропуска на территорию;
• когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
• транспортная безопасность.

---

Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.

Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.

Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).

Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.

Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.

Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:

• Положение о персональных данных;
• Приказ об утверждении положения;
• Приказ о назначении ответственного лица;
• Политика в отношении обработки и безопасности персональных данных;
• Пользовательское соглашение в приложении и на сайте;
• Инструкция ответственного за организацию обработки персональных данных;
• Приказ о выделении помещений для обработки персональных данных + правила доступа;
• Журнал учета машинных носителей информации с персональными данными.

Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.

Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.

В каких случаях согласие на обработку от сотрудника не нужно

Согласие не берется, если обработка ПД происходит для того, чтобы:

• выполнить обязанности, которые необходимы для исполнения закона. Например передача данных в налоговую военкомат и тд;

• исполнить решение из судебного акта или договора;

• защитить жизнь, здоровье или какие-то жизненно важные интересы, а согласие, при этом, получить невозможно;

• проинформировать граждан в интернете о медицинской деятельности сотрудников медорганизаций, об уровне образования и квалификации медработников;

• внести персданные близких родственников сотрудника в объеме личной карточки по форме № Т-2;

• узнать, есть ли у сотрудника медицинские противопоказания к работе;

• оформить документы, которые необходимы для того, чтобы направить сотрудника в командировку;

• самостоятельно организовать пропускной режим в компании (без привлечения сторонней охранной организации);

• вести налоговый и бухгалтерский учет уволенного сотрудника.

Похожие записи:

• Безопасный вычет по НДС в 2023 году
• Налоговый вычет на детей: правила и процедура получения в 2023 году
• Выдел доли в квартире в натуре: судебная практика