На чтение: ≈ 35 мин.Продолжение. Начало в №8, 10
Наряду с Положением о защите персональных данных работников в организации, осуществляющей образовательную деятельность, также представляется необходимым наличие следующих документов:- приказ об утверждении списка лиц, имеющих доступ к персональным данным работников;- обязательство указанных лиц о неразглашении персональных данных работников;- согласие лиц, персональные данные которых обрабатываются, на их обработку и передачу в рамках исполнения работниками трудовых обязанностей и хозяйственной деятельности предприятия;
– уведомление работника о получении его персональных данных от третьих лиц.
Поскольку на работодателя возложена обязанность соблюдения режима конфиденциальности персональных данных, то необходимо в целях обеспечения выполнения этого требования вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, органам государственного контроля (надзора), правоохранительным органам, которые обеспечат документальную фиксацию внутреннего и внешнего доступа к персональным данным работников.
В журнале учета внутреннего доступа к персональным данным следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (личное дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Помимо этого работодателю необходимо вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работников.
Кроме того, учитывая, что к числу методов и способов защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах определенного класса относится учет всех защищаемых носителей информации с помощью их маркировки и занесения учетных данных в журнал учета, то необходимо также ведение журнала учета применяемых работодателем носителей информации.
Раздел 5. ОФОРМЛЕНИЕ СОГЛАСИЯ РАБОТНИКА НА ПЕРЕДАЧУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Также данной статьей предусмотрено, что без согласия работника персональные данные не могут передаваться в коммерческих целях. Соответственно для передачи персональных данных необходимо письменное согласие работника. Из указанного документа должно быть понятно, кому будут передаваться персональные данные работника и с какой целью. Следует также учитывать, что в соответствии со ст. 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).
Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):
1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
2) при получении согласия от представителя работника – его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3) наименование или фамилию, имя, отчество и адрес работодателя;
4) цель обработки персональных данных;
5) перечень персональных данных, которые подлежат обработке;
6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
9) подпись работника.
Следует иметь в виду, что работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.
В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.
Согласие не требуется и в тех случаях, когда:
– обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных);
– это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора);
– обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете (абз. 1 п. 1 Разъяснений Роскомнадзора). К примеру, образовательная организация обязана размещать на официальном сайте образовательной организации в сети Интернет информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии); о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы (ст. 29 Федерального закона от 29.12.2012 №273‑ФЗ «Об образовании в Российской Федерации»);
– обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ);
– проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой (форма №Т-2, утвержденная постановлением Госкомстата России от 05.01.2004 №1), а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др. (абз. 1 п. 2 Разъяснений Роскомнадзора);
– обработка персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);
– обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);
– персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора);
– обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 Налогового кодекса РФ (далее – НК РФ), ст. 29 Федерального закона от 06.12.2011 №402‑ФЗ, абз. 6 – 10 п. 5 Разъяснений Роскомнадзора);
– в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку (ч. 5 ст. 11 Федерального закона от 09.02.2007 №16‑ФЗ, п. 8 Правил предоставления гостиничных услуг в Российской Федерации (утв. постановлением Правительства РФ от 25.04.1997 №490), абз. 4 п. 4 Разъяснений);
– для предоставления сведений в банк, обслуживающий банковские карты работников при условии, что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников либо он действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений);
– не требуется согласие работника на передачу персональных данных, когда обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года №210‑ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (ч. 1 ст. 6, ст. 7, ч. 2 и 3 ст. 9 Закона о персональных данных);
– в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора);
– в военные комиссариаты (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 №53‑ФЗ, пп. «г» п. 30, пп. «а» – «в», «д», «е» п. 32 Положения о воинском учете, утвержденного постановлением Правительства РФ от 27.11.2006 №719, абз. 5 п. 4 Разъяснений Роскомнадзора);
– по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 №10‑ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора);
– по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 №2202-1, п. 7.1 ч. 2 ст. 10 Закона о персональных данных, абз. 7 п. 4 Разъяснений Роскомнадзора);
– по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 №98‑ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 №3‑ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 №40‑ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);
– по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора);
– в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ.
В связи с этим получателями персональных данных работника на законном основании являются:
органы социального страхования, органы пенсионного обеспечения, а также иные органы, организации и граждане, определяемые в соответствии с федеральными законами о конкретных видах обязательного социального страхования, определяемых в соответствии с Федеральным законом от 16 июля 1999 г. №165‑ФЗ «Об основах обязательного социального страхования», согласно которому отношения по обязательному социальному страхованию возникают у страхователя (работодателя) – по всем видам обязательного социального страхования с момента заключения с работником трудового договора;
налоговые органы (в соответствии со ст. 24 Налогового кодекса Российской Федерации, выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов);
органы прокуратуры и другие правоохранительные органы (в соответствии со ст. 23 Закона о персональных данных имеют право запрашивать информацию у работодателей в рамках проверки для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью);
федеральная инспекция труда (государственные инспекторы труда в соответствии со ст. 357 ТК РФ при осуществлении федерального государственного надзора за соблюдением трудового законодательства имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников);
профессиональные союзы (в соответствии с Законом о профсоюзах и ТК РФ профсоюзы имеют право на получение информации от работодателей по социально-трудовым вопросам для осуществления своей уставной деятельности, а также право на осуществление общественного контроля за соблюдением работодателями, должностными лицами трудового законодательства);
другие органы и организации в случаях, предусмотренных федеральным законом.
Раздел 6. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ У РАБОТНИКА
Все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ). Причем это допускается только с его согласия (п. 1 ч. 1 ст. 6 Закона о персональных данных). Это применимо не только к работникам организации. Так, например, согласие на получение персональных данных требуется:
– от претендента на замещение вакантной должности на период принятия работодателем решения о приеме либо отказе в приеме на работу (абз. 11, 12 – 17 п. 5 Разъяснений Роскомнадзора): при поступлении резюме по каналам электронной почты, факсимильной связи; при сборе персональных данных посредством типовой формы анкеты соискателя, утвержденной работодателем;
– для включения соискателя в кадровый резерв работодателя (абз. 22 – 25 п. 5 Разъяснений Роскомнадзора).
Решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 Закона о персональных данных).
Принимая решение о предоставлении своих данных, работник дает согласие на их обработку (п. 1 ст. 9 Закона о персональных данных). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закона о персональных данных, абз. 3 п. 5 Разъяснений Роскомнадзора).
Не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):
1) из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
2) по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора);
3) в объеме, предусмотренном унифицированной формой №Т-2 (утв. постановлением Госкомстата России от 05.01.2004 №1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора);
4) от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора);
5) из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона о персональных данных, абз. 12 п. 5 Разъяснений Роскомнадзора).
Раздел 7. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА У ТРЕТЬИХ ЛИЦ. СОГЛАСИЕ РАБОТНИКА НА ПОЛУЧЕНИЕ РАБОТОДАТЕЛЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ У ТРЕТЬИХ ЛИЦ
Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).
В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):
– цели получения персональных данных работника у третьего лица;
– предполагаемые источники информации (лица, у которых будут запрашиваться данные);
– способы получения данных, их характер;
– возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.
Раздел 8. ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ДОКУМЕНТЫ, СОДЕРЖАЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА
Исходя из того, что персональные данные работника могут содержаться во многих документах работодателя, изменения вносятся следующим образом:
– в личную карточку работника (форма №Т-2). В соответствии с п. 1 Указаний, утвержденных постановлением Госкомстата России от 05.01.2004 №1, при изменении сведений о работнике в его личную карточку вносятся новые данные, которые заверяются подписью работника кадровой службы. Следовательно, прежние сведения необходимо зачеркнуть одной чертой и сверху или рядом с соответствующей графой поместить новые данные и заверить подписью работника кадровой службы;
– в трудовую книжку. В соответствии с п. 2.3 Инструкции по заполнению трудовых книжек (утв. постановлением Минтруда России от 10.10.2003 №69) изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производятся на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их реквизиты. Указанные изменения вносятся на первую страницу (титульный лист) трудовой книжки. Одной чертой зачеркиваются прежние фамилия, имя, отчество или дата рождения и записываются новые данные. Ссылки на соответствующие документы проставляются на внутренней стороне обложки трудовой книжки и заверяются подписью работодателя или специально уполномоченного им лица и печатью организации (или кадровой службы). Следует также учитывать, что согласно п. 26 постановления Правительства РФ от 16.04.2003 №225 «О трудовых книжках» изменение записей о фамилии, имени, отчестве и дате рождения, а также об образовании, профессии и специальности работника производится работодателем по последнему месту работы на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов.
Для внесения изменений в другие документы, содержащие персональные данные работника (например, книгу учета движения трудовых книжек и т. д.), необходимо в произвольной форме составить приказ об изменении персональных данных конкретного работника. На основании этого приказа будут вноситься изменения во все остальные соответствующие документы. Внесенные изменения необходимо заверить подписью ответственного работника и печатью организации.
Раздел 9. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ, СВЯЗАННЫЕ С ОБРАБОТКОЙ И ЗАЩИТОЙ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно работодатель обязан ознакомить их с такой информацией.
Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.
Также работники согласно ст. 89 ТК РФ имеют право на свободный бесплатный доступ к своим персональным данным, в т. ч. на получение копии любой записи, содержащей такие данные.
Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.
При этом следует иметь в виду, что положения ст. 62 ТК РФ распространяются и на дистанционных работников, но с учетом особенностей, установленных гл. 49.1 ТК РФ. Это определено ч. 3 ст. 312.1 ТК РФ.
В частности, если такому работнику потребуются копии документов, связанных с работой, работодателю необходимо направить их ему одним из следующих способов (ч. 8. ст. 312.1 ТК РФ):
– по почте заказным письмом с уведомлением;
– электронным письмом (если работник указал об этом в заявлении).
Соответствующее заявление работник может направить в электронной форме, заверив его усиленной квалифицированной электронной подписью (ч. 4, 6 ст. 312.1 ТК РФ).
Работник также может определить представителя для защиты своих персональных данных. Традиционно представителями работников являются профсоюзы, однако для указанных целей работник может определить иное лицо (физическое либо юридическое), а также защищать права самостоятельно.
Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.
Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ).
В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите их персональных данных.
Работники обязаны в разумный срок информировать работодателя об изменении персональных данных.
Следует иметь в виду, что законом не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных. Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей. Так, например, работодатель не сможет принять от работника листок временной нетрудоспособности, если в нем будет указана другая фамилия, поскольку Фонд социального страхования в таком случае не возместит работодателю выплаченную сумму.
Аналогичные ситуации могут возникнуть и с заработной платой, если она перечисляется работнику на зарплатную карточку через банк.
При изменении данных руководителя организации следует сообщить в налоговый орган в течение трех дней (п. 5 ст. 5 Федерального закона от 08.08.2001 №129‑ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»).
Работодатель обязан уведомить Пенсионный фонд об изменении данных конкретного работника (п. 4 ст. 7 Федерального закона от 01.04.1996 №27‑ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).
Ставить в известность остальные фонды (социального страхования, обязательного медицинского страхования) о смене работником фамилии, имени, отчества не нужно.
При изменении персональных данных работника (смена фамилии и т. д.) такие изменения рекомендуется отражать в дополнительном соглашении к трудовому договору. Это, например, позволит избежать следующей ошибки: в соглашении о переводе работника на другую должность в трудовом договоре указана прежняя фамилия работника, а в дополнительном соглашении – новая.
В связи с тем что своевременное предоставление изменившихся персональных данных избавит работодателя от многих проблем, следует прописать в Положении о персональных данных обязанность работника ставить работодателя в известность о таких изменениях с определением конкретного срока.
Выбор читателей
Комментарии