Защита персональных данных

Персональные данные: топ сложных вопросов для работодателей

В этой статье обсудим типичные ошибки работодателей в области персональных данных и вопрос согласий, в котором важно разбираться всем.
Персональные данные: топ сложных вопросов для работодателей

В этой статье обсудим типичные ошибки работодателей в области персональных данных и вопрос согласий, в котором важно разбираться всем.

Откуда взять топ ошибок?

Откуда мы можем взять информацию о типовых ошибках работодателей в сфере персональных данных?

Во-первых, из практики проверок Роскомнадзора, во-вторых, из судебной практики. По поводу практики — здесь два варианта:

  • неформальный (опыт коллег, знакомых, экспертов, участвовавших в проверках);
  • второй — формальный (из официальных отчетов госорганов, опубликованных на их сайтах или иных ресурсах).

Ну а судебную практику нужно просто искать в правовых базах (по ключевым словам, по готовым подборкам и т.д.).

Да, кстати, такая методика сбора информации о типовых ошибках подойдет для любого направления работы отдела кадров.

Что актуального?

Итак. мы смотрим на сайте Роскомнадзора и видим, что там опубликован Отчет о выполнении в 2020 году плана.

Это отчет о деятельности Роскомнадзора вообще (у него много направлений работы).

Но в этих отчетах, на мой взгляд, типовые нарушения описаны как-то нечетко. В частности, указаны нарушения при направлении уведомления об обработке (неверные данные, несвоевременность корректировок), обработка в непредусмотренных случаях (но это не наша тема). А вот там, где могут быть как раз нарушения работодателей, указано все общего характера: непринятие мер, необходимых для соблюдения законодательства.

Но зато отчеты интересны в плане статистики проверок.

Далее обратимся к судебной практике. Из самых интересных мы собрали 50 дел с 2017 года (опубликованы в правовых системах). Вот основные нарушения (выбирали именно по работникам):

  • нарушены сроки удаления персональных данных с сайта (Определение Первого кассационного суда общей юрисдикции от 24.08.2021 по делу N 88-21272/2021);
  • не получено согласие на передачу данных третьим лицам, в частности, страховой компании (Определение Второго кассационного суда общей юрисдикции от 28.09.2021 по делу N 88-22322/2021);
  • незаконно взыскан с работника штраф госоргана, наложенного на работодателя, за нарушение работы с персональными данными (Определение Четвертого кассационного суда общей юрисдикции от 22.10.2020 по делу N 88-16568/2020);
  • работники не ознакомлены с ЛНА о персональных данных (Постановление Мирового судьи судебного участка № 1 Игринского района Удмуртской Республики от 05.11.2019 по делу № 5-766/2019);
  • видеонаблюдение без согласия (Решение Верховного суда Республики Дагестан от 24.05.2018 N 21-607/2018);
  • не разработаны ЛНА о персональных данных, образцы согласий не соответствуют закону (Постановление Арбитражного суда Московского округа от 15.01.2018 N Ф05-18981/2017 по делу N А40-81171/17-149-793);
  • отсутствие согласия при передаче функций на аутсорсинг (Постановление Мирового судьи судебного участка № 6 Октябрьского судебного района города Архангельска от 19.01.2018 по делу № 5-28/2018);
  • не уведомлен госорган об обработке персональных данных (Постановление Мирового судьи судебного участка № 57 Ленинского судебного района г. Кирова от 11.01.2018 по делу 5-21/2018).

В общем, вот вам топ дел, которые точно надо изучить, чтобы не повторять подобных ошибок.

А еще

На мой взгляд, самый главный вопрос по теме персональных данных — это согласия. В каких случаях нужны, у кого берём, что в них писать...

Почему это важно? А потому, что это проверит Роскомнадзор, и штраф за обработку персональных данных без согласия — до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

Давайте разбираться, какие нужны согласия.

1. Согласие на обработку персональных данных.

По общему правилу, персональные данные обрабатываются с согласия, но если только для исполнения договора, то можно и без согласия (ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Если только для оформления на работу, для исполнения трудового договора, то опять же, получается, можно и без согласия.

Почему тогда берём при приёме на работу это согласие? Потому что во многих случаях обрабатываем дополнительные данные: e-mail, номер телефона, данные о родственниках и т.д. Ну и на всякий случай, чтобы споров было меньше.

2. Согласие на передачу персональных данных.

По общему правилу, передавать данные государственным органам в предусмотренных законом случаях можно и без согласия (см. п. 4 Разъяснений Роскомнадзора).

Получается, иным организациям, кроме госорганов, данные передаем только с согласия — контрагентам, страховым компаниям, обучающим организациям, аутсорсинговым компаниям и т.д.

3. Согласие на распространение.

Это новое согласие, изменения внесены Федеральным законом от 30.12.2020 № 519-ФЗ, Приказом Роскомнадзора от 24.02.2021 N 18.

Если компания размещает данные работников на своих сайтах, порталах, соцсетях, то требуется оформить такое согласие (отдельно от других согласий).

4. Согласие на обработку биометрических данных (фото, видео, в том числе, видеонаблюдение, иные данные, связанные с телом человека).

Эти данные всегда обрабатываются с согласия (ст. 11 Закона о персональных данных). Есть мнение, что надо оформлять это согласие отдельно, но не вижу в судебной практике, чтобы штрафовали, если нет отдельного документа. Полагаю, мы можем включить этот пункт в обычное согласие на обработку.

Но, если обрабатывать эти данные потребовалось позже приёма, то придется оформить отдельное согласие

5. Согласие на обработку данных кандидата.

Конечно, если кандидат принёс резюме с собой, вы его просто посмотрели и вернули ему, то согласия не требуется. Также не требуется согласие, если вы получили резюме с работного сайта, из агентства. Но если вы получили резюме с вашего сайта, по эл.почте, лично и собираетесь включить его в базы данных, то нужно согласие (Разъяснения Роскомнадзора)

6. Согласие на получение персональных данных.

По общему правилу, персональные данные получают от самого гражданина, а получение данных от третьих лиц возможно только с его согласия (ст. 86 ТК РФ).

Обычно мы хотим получить информацию от предыдущих работодателей или подтвердить подлинность диплома. — то есть, получить персональные данные на кандидата от других лиц. Соответственно, можно включить этот пункт в согласие кандидата.

7. Согласие на трансграничную передачу.

Передача персональных данных работников за границу осуществляется только с их согласия (ст. 12 Закона о персональных данных).

Но это согласие актуально только для организаций с иностранным участием.

Вот, на мой взгляд, краткий обзор согласий по персональным данным.

 

Начать дискуссию