Консалтинг Онлайн
Защита персональных данных

Персональные данные работника: напоминание кадровой службе об обязанности регистрации в Роскомнадзоре

Все компании, работающие с персональными данными сотрудников, должны быть зарегистрированы в Роскомнадзоре и иметь статус оператора ПД. Чтобы разобраться, какие нужны внутренние документы — исходите из специфики и целей компании. Рассказали, как попасть в реестр операторов, какие нужны документы и как взаимодействовать с РКН.

Общие определения

Персональные данные — это любая информация о человеке, которая позволяет его идентифицировать (имя, адрес, паспортные данные, видео в интернете, фото, отпечатки пальцев и т.д.). Неправомерное использование данных может скомпрометировать их владельца и нанести вред его частной, личной и семейной жизни. 

Оператор персональных данных — это ИП или юридическое лицо, которое в рамках своей деятельности собирает, хранит и обрабатывает данные о своих клиентах, потребителях, пациентах с помощью автоматизированных и (или) неавтоматизированных средств. Также к операторам относятся физические лица, государственные и муниципальные учреждения, работающие с персданными.

Роскомнадзор — это контрольный орган в сфере персональных данных, который следит за деятельностью операторов и защищает права и интересы субъектов ПД. 

Закон от 27.07.2006 № 152 «О персональных данных» — это основной закон, регулирующий взаимодействие всех сторон процесса: субъектов ПД, операторов, контрольных органов. Проще говоря, закон № 152-ФЗ — это свод правил о том, как работать с персональными данными без нарушений, штрафов и предписаний.

Виды персональных данных

Закон № 152-ФЗ разделяет персональные данные на несколько категорий — общие и специальные (ст. 10 закона № 152-ФЗ).

Общие персональные данные

К общей категории ПД относится «обычная» информация о человеке — образование, место жительства, адрес электронной почты, ИНН и т.д.

Компании могут собирать персональные данные только с согласия их владельцев (ст. 9 закона № 152-ФЗ). В том числе это относится к работодателям при трудоустройстве сотрудников.

Специальная категория персональных данных

В статье 10 закона № 152-ФЗ перечислены данные физлиц, которые относятся к категории специальных. Например, это национальность, религия, медицинские показания, политические убеждения и т.д. 

Компании, в том числе работодатели, не могут обрабатывать персональные данные из специальной категории — это общее правило, которое следует из п. 4 ст. 86 ТК. Но есть исключения: например, работодатель может обрабатывать данные о здоровье работника, полученные после прохождения обязательной медкомиссии (ст. 69 ТК). И некоторых других случаях (ч. 2 ст. 10 закона № 152-ФЗ):

  • получено согласие в письменном виде от владельца ПД;

  • данные необходимы для защиты здоровья и жизни человека;

  • в судебных разбирательствах для установления правосудия и защиты прав граждан;

  • при осуществлении прокурорских проверок и т.д.

Также операторы могут обрабатывать специальные категории ПД, если владелец сам сделал их доступными для широких масс.

Биометрические ПД

Биометрические данные — это уникальные характеристики человека, относящиеся к внешности и физиологическим особенностям (ч. 1 ст. 11 закона № 152-ФЗ). Например, особенности лица (форма носа, расстояние между глазами), результаты дактилоскопии, тембр голоса. 

Компании, в том числе работодатели, могут собирать и использовать биометрические данные только с согласия их владельцев. За исключением некоторых случаев (ч. 2 ст. 11 закона № 152-ФЗ):

  • при обязательном сборе дактилоскопических данных;

  • для вынесения справедливых судебных решений и установления правосудия;

  • при необходимости противодействия терроризму и обеспечения транспортной безопасности и т.д.

Оператор не вправе требовать от гражданина, например, сотрудника, предоставить биометрические данные, если тот отказывается и при этом его случай не входит в список исключений по ч. 2 ст. 11 закона № 152-ФЗ.

Работодателям важно разбираться в категориях персональных данных, чтобы при трудоустройстве корректно запрашивать только необходимую информацию и правильно составлять внутреннюю документацию и локальные акты.

Количество и состав документов для оформления работы с персональными данными может отличаться в зависимости от направления и целей компании. На сайте Роском Онлайн вы можете скачать чек-лист с перечнем необходимых документов (более 60 форм и регламентов) и ссылками на НПА. На сайте можно проверить регистрацию компании в Роскомнадзоре, подобрать список документов и получить бесплатную консультацию.

Оставить заявку

Полномочия Роскомнадзора

Требования Роскомнадзора направлены на то, чтобы организации соблюдали нормы закона 152-ФЗ и не нарушали права граждан. В том числе это относится к компаниям, которые обрабатывают данные своих сотрудников и собирают информацию для трудоустройства.

Регистрация в Роскомнадзоре

Если компания в рамках своей деятельности собирает персональную информацию (с клиентов, пациентов, сотрудников), то она относится к операторам персональным данных (ОПД)

Необходимо направить уведомление в РКН до начала работы с персональными данными (ч. 1 ст. 22 закона № 152-ФЗ). Роскомнадзор вносит сведения о компаниях в реестр операторов в течение 30 дней после получения уведомления. 

В отдельных случаях компания может осуществлять обработку данных без уведомления Роскомнадзора (ч. 2 ст. 22). Таких случаев всего три:

  1. Компания входит в ГИС по обеспечению государственной безопасности и общественного порядка.

  2. Для обработки ПД не используются автоматизированные средства.

  3. При обеспечении безопасности в сфере транспортного комплекса.

Если вы не подходите ни под одну из этих категорий, то регистрироваться в Роскомнадзоре обязательно.

Как подать уведомление

Уведомление в Роскомнадзор о начале работы с ПД можно подать одним из трех способов:

  1. На бумаге. Форма заполняется на сайте Роскомнадзора, затем ее необходимо распечатать, подписать и отправить по почте в территориальное подразделение РКН.

  2. В электронном виде. Форма заполняется на сайте Роскомнадзора и подписывается усиленной квалифицированной электронной подписью (УКЭП).

  3. На «Госуслугах». Для заполнения формы потребуется подтвержденная учетная запись. 

А саму форму уведомления Роскомнадзор утвердил в своем приказе от 28.10.2022 № 180

Что указать в уведомлении

Заполняйте уведомление с учетом требований, описанных в ч. 3 ст. 22 закона № 152-ФЗ. Оно должно содержать:

  • название и адрес компании (работодателя);

  • для каких целей собираются ПД;

  • меры и средства защиты при работе с данными;

  • имена и контакты сотрудников, ответственных за работу с ПД в компании;

  • дата, когда компания начала собирать и обрабатывать данные;

  • когда или при каком условии компания прекращает работу с ПД;

  • информация о трансграничной передаче данных (используется в процессе обработки или нет);

  • где находится информационная база компании, применяемая для обработки и хранения ПД;

  • лица, которым открыт доступ к государственным и муниципальным системам, содержащим данные;

  • подтверждение того, что компания соблюдает правительственные требования по защите ПД. 

Кроме этого, компания должна указать категории персональных данных в соответствии со своими целями, а также основания для работы с ПД и способы обработки (ч. 3.1 ст. 22 закона № 152-ФЗ).

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Уточнения РКН

Если компания указала в уведомлении неполные или недостоверные сведения, то Роскомнадзор вправе запросить уточнения (ч. 6 ст. 22 закона № 152-ФЗ). 

На ответ компании дается до 10 рабочих дней. При наличии мотивированных оснований компания может продлить этот срок еще на пять рабочих дней (ч. 6 ст. 22, ч. 4 ст. 20 закона № 152-ФЗ).

Что делать при прекращении работы с ПД

При прекращении работы с персональными данными компания обязана сообщить в Роскомнадзор — по закону на это отводится 10 рабочих дней (ч. 7 ст. 22 закона № 152-ФЗ).

Если необходимо внести изменения в уведомление о начале работы с персональными данными, то действуют другие сроки — до 15 числа следующего месяца. Например, изменения произошли в феврале, значит, подать сведения нужно не позднее 15 марта.

Какие нужны документы

Перед началом работы с персональными данными компания определяет цели такой работы и строит свои процессы, в том числе подготовку документов, на основании сформированных целей. Собирать и обрабатывать данные вне этих целей запрещено.

Например, при трудоустройстве работодатель может запросить диплом, трудовую книжку, результаты медкомиссии. Но узнавать про вероисповедание или интимную жизнь — это уже нарушение прав граждан и несоответствие цели (приему на работу).

Список целей для обработки персональных данных сотрудников дается в ст. 86 ТК:

  • прием на работу;

  • обучение и повышение квалификации работников;

  • подготовка отчетов для надзорных органов;

  • контроль качества работы;

  • обеспечение безопасности сотрудников;

Количество и состав документов, которые компания должна подготовить при работе с ПД сотрудников, может отличаться в зависимости от специфики деятельности и целей. Некоторые документы перечислены в ст. 18.1 закона № 152-ФЗ.

Положение о персональных данных

Положение о ПД — это один из ключевых локальных документов, который регулирует работу с данными, в том числе с данными сотрудников. В нем указывается информация с учетом целей деятельности;

  • категории ПД и группы субъектов;

  • способы обработки и хранения данных;

  • порядок уничтожения данных, когда они больше не нужны компании.

Приложение необходимо утвердить приказом руководителя. Принять документ можно на собрании профсоюза (ст. 372 ТК).

Политика обработки персональных данных

Политика обработки ПД необходима компаниям, которые собирают данные на своем сайте (анкеты, формы заказа, сбор адресов). Документ должен быть опубликован на сайте компании и открыт для всех заинтересованных лиц (ч. 2 ст. 18.1 закона № 152-ФЗ).

В Политике указываются следующие сведения:

  • понятия, используемые в документе;

  • цели работы с ПД;

  • законные основания, позволяющие компании обрабатывать данные;

  • права и обязанности владельцев ПД и т.д.

Положение о защите данных

В локальных документах компания прописывает меры, которые она проводит для защиты персональных данных. Эти меры защищают ПД от неправомерного разглашения

Меры по защите данных можно указать в виде правил в любом внутреннем акте организации или выпустить отдельным положением. Положение утверждается приказом руководителя. Каждый из сотрудников ознакамливается с ним под роспись. 

Обязательство о неразглашении персданных

Для работы с персональными данными назначаются ответственные сотрудники. Они получают полный или частичный доступ к данным в зависимости от своего функционала. 

Например, менеджеру может быть открыта информация об адресах и именах, но ему незачем знать о зарплатах работников.

С ответственными сотрудниками подписывается обязательство о неразглашении. Некоторые компании прикладывают допсоглашение к трудовому договору, в котором указывают условие о неразглашении.

Регламент допуска

Список сотрудников, имеющих доступ к персональным данным, указывается в специальном регламенте. Чаще всего ответственными назначают кадровиков, бухгалтеров, секретарей. 

Доступ выдается только на ту часть персональных данных, которая необходима ответственному для выполнения его обязанностей (ст. 88 ТК). 

Вместе с регламентом необходимо издать приказ со списком уполномоченных лиц и их зонами ответственности при работе с персональными данными (постановление Правительства от 15.09.2008 № 687).

Документы внутреннего контроля

При работе с персональными данными компания должна максимально обезопасить себя в случае проверок. Такую защиту дают документы внутреннего контроля — результаты аудита, протоколы и т.д. Проверяющие органы могут запросить эти документы в ходе проверок.

Заключение

Регистрация в Роскомнадзоре — это обязательный шаг для всех организаций, которые работают с персональными данными. Несоблюдение этого требования может привести к штрафам и проверкам. 

Например, штраф за нарушение правил публикации политики ПД и ограничение доступа к ней — до 60 тыс. рублей (на организацию) и до 12 тыс. рублей (на должностное лицо) (ч. 3 ст. 13.11 КоАП).

Кроме того, важно подготовить полный пакет документов, включая положение о защите данных, политику обработки персональных данных и регламент доступа сотрудников к информации.

Кадровикам стоит помнить: грамотно оформленные документы и выстроенные процессы не только защищают компанию от штрафов, но и укрепляют доверие сотрудников и клиентов. Для упрощения работы используйте чек-листы, регулярно обновляйте документацию и обращайтесь за консультацией к профессионалам.

Если у вас есть сотрудники в штате, клиенты или работаете с персональными данными физлиц, то ваша компания должна быть зарегистрирована в Роскомнадзоре. На сайте Роском Онлайн скачайте чек-лист со списком обязательных процедур для работы с персональными данными по закону № 152-ФЗ. Если у вас есть вопросы по обработке ПД, внутренней документации и взаимодействию с РКН, то корпоративные юристы бесплатно вас проконсультируют.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHU4zHv

Начать дискуссию