Персональные данные: топ сложных вопросов для работодателей

В этой статье обсудим типичные ошибки работодателей в области персональных данных и вопрос согласий, в котором важно разбираться всем.

Откуда взять топ ошибок?

Откуда мы можем взять информацию о типовых ошибках работодателей в сфере персональных данных?

Во-первых, из практики проверок Роскомнадзора, во-вторых, из судебной практики. По поводу практики — здесь два варианта:

• неформальный (опыт коллег, знакомых, экспертов, участвовавших в проверках);
• второй — формальный (из официальных отчетов госорганов, опубликованных на их сайтах или иных ресурсах).

Ну а судебную практику нужно просто искать в правовых базах (по ключевым словам, по готовым подборкам и т.д.).

Что актуального?

Итак. мы смотрим на сайте Роскомнадзора и видим, что там опубликован Отчет о выполнении в 2020 году плана.

Это отчет о деятельности Роскомнадзора вообще (у него много направлений работы).

Но в этих отчетах, на мой взгляд, типовые нарушения описаны как-то нечетко. В частности, указаны нарушения при направлении уведомления об обработке (неверные данные, несвоевременность корректировок), обработка в непредусмотренных случаях (но это не наша тема). А вот там, где могут быть как раз нарушения работодателей, указано все общего характера: непринятие мер, необходимых для соблюдения законодательства.

Далее обратимся к судебной практике. Из самых интересных мы собрали 50 дел с 2017 года (опубликованы в правовых системах). Вот основные нарушения (выбирали именно по работникам):

• нарушены сроки удаления персональных данных с сайта (Определение Первого кассационного суда общей юрисдикции от 24.08.2021 по делу N 88-21272/2021);
• не получено согласие на передачу данных третьим лицам, в частности, страховой компании (Определение Второго кассационного суда общей юрисдикции от 28.09.2021 по делу N 88-22322/2021);
• незаконно взыскан с работника штраф госоргана, наложенного на работодателя, за нарушение работы с персональными данными (Определение Четвертого кассационного суда общей юрисдикции от 22.10.2020 по делу N 88-16568/2020);
• работники не ознакомлены с ЛНА о персональных данных (Постановление Мирового судьи судебного участка № 1 Игринского района Удмуртской Республики от 05.11.2019 по делу № 5-766/2019);
• видеонаблюдение без согласия (Решение Верховного суда Республики Дагестан от 24.05.2018 N 21-607/2018);
• не разработаны ЛНА о персональных данных, образцы согласий не соответствуют закону (Постановление Арбитражного суда Московского округа от 15.01.2018 N Ф05-18981/2017 по делу N А40-81171/17-149-793);
• отсутствие согласия при передаче функций на аутсорсинг (Постановление Мирового судьи судебного участка № 6 Октябрьского судебного района города Архангельска от 19.01.2018 по делу № 5-28/2018);
• не уведомлен госорган об обработке персональных данных (Постановление Мирового судьи судебного участка № 57 Ленинского судебного района г. Кирова от 11.01.2018 по делу 5-21/2018).

В общем, вот вам топ дел, которые точно надо изучить, чтобы не повторять подобных ошибок.

А еще

На мой взгляд, самый главный вопрос по теме персональных данных — это согласия. В каких случаях нужны, у кого берём, что в них писать...

Давайте разбираться, какие нужны согласия.

1. Согласие на обработку персональных данных.

По общему правилу, персональные данные обрабатываются с согласия, но если только для исполнения договора, то можно и без согласия (ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Если только для оформления на работу, для исполнения трудового договора, то опять же, получается, можно и без согласия.

2. Согласие на передачу персональных данных.

По общему правилу, передавать данные государственным органам в предусмотренных законом случаях можно и без согласия (см. п. 4 Разъяснений Роскомнадзора).

3. Согласие на распространение.

Это новое согласие, изменения внесены Федеральным законом от 30.12.2020 № 519-ФЗ, Приказом Роскомнадзора от 24.02.2021 N 18.

4. Согласие на обработку биометрических данных (фото, видео, в том числе, видеонаблюдение, иные данные, связанные с телом человека).

Эти данные всегда обрабатываются с согласия (ст. 11 Закона о персональных данных). Есть мнение, что надо оформлять это согласие отдельно, но не вижу в судебной практике, чтобы штрафовали, если нет отдельного документа. Полагаю, мы можем включить этот пункт в обычное согласие на обработку.

5. Согласие на обработку данных кандидата.

Конечно, если кандидат принёс резюме с собой, вы его просто посмотрели и вернули ему, то согласия не требуется. Также не требуется согласие, если вы получили резюме с работного сайта, из агентства. Но если вы получили резюме с вашего сайта, по эл.почте, лично и собираетесь включить его в базы данных, то нужно согласие (Разъяснения Роскомнадзора)

6. Согласие на получение персональных данных.

По общему правилу, персональные данные получают от самого гражданина, а получение данных от третьих лиц возможно только с его согласия (ст. 86 ТК РФ).

Обычно мы хотим получить информацию от предыдущих работодателей или подтвердить подлинность диплома. — то есть, получить персональные данные на кандидата от других лиц. Соответственно, можно включить этот пункт в согласие кандидата.

7. Согласие на трансграничную передачу.

Передача персональных данных работников за границу осуществляется только с их согласия (ст. 12 Закона о персональных данных).

Вот, на мой взгляд, краткий обзор согласий по персональным данным.