Несоблюдение порядка обработки персональных данных нередко является причиной привлечения работодателя к административной ответственности

Российские работодатели имеют много обязанностей. Перед работниками, государственными органами, контролерами, бюджетом. Часто мы упускаем какие-то мелочи.

О документах

Любая информация о человеке, имеющаяся у работодателя (Ф.И.О., паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах) является персональными данными работника.
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» определяет порядок сбора, хранения и использования персональных данных, в том числе при заключении трудовых договоров.
Для соблюдения всех формальностей работодатель должен:
1. Создать отдельный документ, в котором отражен порядок работы с данными, определить перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Этот документ утверждает руководитель. С ним следует ознакомить работников под роспись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).
2. Назначить лицо, которое несет ответственность за обработку персональных данных. С него следует взять расписку о неразглашении
3. Оформить согласие работника на обработку персональных данных при приеме на работу. Это может быть отдельный документ, приложение к трудовому договору или дополнительный пункт в нем.
Обработка персональных данных работников – включает все действия с такими данными (например, сбор, получение, хранение, передача).
Не забывайте, что помимо перечисленных выше, у работодателя обязательно должен быть документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Для подготовки этого документа следует обратиться к соответствующим рекомендациям, изданным Роскомнадзором.
Составленный документ должен содержать следующие сведения: информацию о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки. Этот документ следует опубликовать или сделать общедоступным любым способом. Как исполнить это требование? Разместить документ на официальном сайте компании, а если сайта нет, то повесить его на стенд на территории предприятия (ч. 2 ст. 18.1 Закона о персональных данных).

Когда делиться данными работника с другими лицами можно

Есть случаи, когда передача информации о работнике не требует отдельного согласия последнего.
Так, не требуется согласие работника на передачу персональных данных:
— третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора);
— в ФСС РФ, ПФР в составе установленных отчетных форм (абз. 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 N 165-ФЗ, ч. 2 ст. 15 Федерального закона от 01.04.1996 N 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 N 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора);
— в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, п. 2 ст. 12 Закона об основах обязательного соцстрахования, абз. 5 п. 4 Разъяснений Роскомнадзора);
— в военные комиссариаты в рамках воинского учета (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 N 53-ФЗ, пп. «г» п. 30, пп. «а» — «в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 N 719, абз. 5 п. 4 Разъяснений Роскомнадзора);
— по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 N 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора);
— по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 N 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора);
— по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 N 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 N 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);
— по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора);
— по запросу суда. Это следует из анализа ч. 4 — 7 ст. 66 АПК РФ, ч. 1, 2 ст. 57 ГПК РФ;
— в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ;
— в случаях, связанных с исполнением работником должностных обязанностей (например, при направлении в командировку). Это следует из совокупного анализа ч. 5 — 5.2 ст. 11 Федерального закона от 09.02.2007 N 16-ФЗ, п. 13 Правил предоставления гостиничных услуг, утвержденных Постановлением Правительства РФ от 18.11.2020 N 1853, абз. 4 п. 4 Разъяснений;
— для предоставления сведений в кредитную организацию, обслуживающую платежные карты работников, если в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) предусмотрено право работодателя передавать персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений).

Об общедоступных персональных данных

С 01 марта 2021 года закон «О персональных данных» был дополнен новым понятием: «персональные данные, разрешенные субъектом персональных данных для распространения». Цель обновления закона – оградить общедостапные персональные данные от бесконтрольного использования третьими лицами и нарушение первоначальных целей их распространения.
Роскомнадзор определил, какие сведения должны быть в согласии на обработку общедоступных персональных данных
В согласии среди прочего работодатели должны указывать такие сведения:
— Ф.И.О. субъекта персданных, его контактную информацию;
— данные оператора, его информационные ресурсы;
— цель обработки, категории и перечень персданных;
— срок действия согласия.
Сегодня наиболее актуален вопрос об изменении ранее полученных от работников согласий об обработке персональных данных в связи с введением в закон понятия: персональные данные, разрешенные для распространения. Законом изменение ранее полученных согласий не предусмотрено. Просто при массовом распространении персональных данных у работника следует взять дополнительный документ.
Второй, не менее актуальный вопрос – нужно ли брать допонительное согласие чтобы указывать данные о работнике в отчете о привитых работниках.
Поскольку персональные данные работника могут передаваться третьим лицам в целях предупреждения угрозы жизни и здоровью работника без отдельного согласия последнего, работодатель имеет право на передачу органам власти его персональных данных в части информации о вакцинации против короновируса, наличия антител IgG, снилс, номера полиса омс без внесения изменений в ранее оформлениые согласия. Именно такой ответ дали специалисты Роструда на сайте Онлайнинспекция.

Об административной ответственности

Организация и (или) должностное лицо может быть привлечено к ответственности (ст. 13.11 КоАП РФ):
• за нарушение правил обработки персональных данных;
• неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных;
• невыполнение требований по защите персональных данных;
• неисполнение обязанностей при взаимодействии с Роскомнадзором.
Основной вид административного наказания за нарушение законодательства о персональных данных — штраф. Его размер зависит от вида нарушения. Иногда штраф весьма значителен. Так, если организация будет обрабатывать персональные данные без письменного согласия гражданина, в том случае, когда такое согласие требуется, ее оштрафуют на 150 000 руб., за повторное правонарушение – на 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП РФ). Аналогичный штраф придется заплатить за отсутствие в согласии на обработку персональных данных всех необходимых сведений.
Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).