Ошибки операторов ПДн, связанные с кадровой работой

в 11:56, , рубрики: Блог компании Cloud4Y, Законодательство и IT-бизнес, информационная безопасность, исключения, кадровый учет, Карьера в IT-индустрии, нарушения, персональные данные, управление персоналом

Ошибки операторов ПДн, связанные с кадровой работой - 1

Прошло более 10-ти лет с момента принятия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», однако надзорная деятельность Роскомнадзора показывает, что далеко не все еще освоились с практикой его применения. В частности, в статистике за 2016-й год явно просматривается одна из типичных ошибок операторов, в большинстве случаев, связанная с кадровой работой (видимо, как наиболее распространенная деятельность), а именно:

«Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») – примерно 9% от общего количества выявленных в 2016 году нарушений.»

Давайте попробуем еще раз взглянуть на данную проблематику. Тем более, благодаря нововведениям в законодательстве, штрафы значительно выросли.

Так, по ст. 13.11 КоАП РФ до 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании – до 10 тысяч рублей.

С 1 июля 2017 года вступили в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

  • обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) – штраф от 30 тыс до 50 тыс рублей;
  • обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) – штраф от 15 до 70 тыс рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) – штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

Что же с согласием работника?

Роскомнадзор, в своих рекомендациях (полный текст документа доступен по ссылке), выделяет 5 основных моментов, когда мы можем таковое у работника не брать.

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.

Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:

1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.

Информация о деятельности медицинских организаций, образовательных учреждениях, государственных органов и органов местного самоуправления

К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.

В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18.04.2012 N 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.07.1992 N 3266-1 «Об образовании», в том числе информацию, содержащую следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты, информация о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, их уровень образования, квалификация, наличие ученой степени, ученого звания.

Соответствующие обязательства также установлены Федеральным законом от 09.02.2009 N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», согласно которому государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о своей деятельности, в том числе к сведениям о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны). Иная информация может указываться только при согласии указанных лиц.

2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.

4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации

Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом „Об основах обязательного социального страхования, Федеральным законом “Об обязательном медицинском страховании в Российской Федерации».

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.

В случае мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

  1. договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  2. наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  3. соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

5. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.

Распространенные ошибки

Вроде бы все довольно просто и понятно, но в чем же кроется ошибка? На состоявшейся недавно Международной конференции «Защита персональных данных», в своем выступлении Михаил Емельянников приводил следующие данные из материалов проверок:

Наличие в согласии работника на обработку персональных данных, даваемого в письменной форме, сведений об обработке персональных данных в нескольких целях и указание в нем нескольких лиц, осуществляющих обработку персональных данных по поручению оператора. Согласие на обработку персональных данных соискателя не соответствует требованиям п.4 ч.4 ст.9 Закона, в части указания одной цели обработки персональных данных. Согласие включает в себя указание нескольких лиц, осуществляющих обработку персональных данных по поручению оператора, что не соответствует требованиям п.6 ч.4 ст. 9 № 152-ФЗ «О персональных данных» в части указания лица (одного), осуществляющего обработку персональных данных по поручению оператора.

И еще одно явное указание суда, для понимания ситуации, оттуда же:

Для устранения выявленного нарушения Обществу необходимо разработать и использовать типовую письменную форму согласия на обработку персональных данных работника, предусматривающую наличие одной цели обработки в случае передачи персональных данных работников третьим лицам.
Вывод суда: … если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи персональных данных работников третьим лицам необходимо получать отдельное письменное согласие работника.

Постановление Девятого арбитражного апелляционного суда от 16.08.2016 № 09АП-30182/2016-АК по делу № А40-17595/16

Вот по этим, казалось бы, незначительным ошибкам и происходят сегодня судебные процессы.
Кроме того, так до конца и не явным остается определение самих персональных данных. В этом вопросе, опять же, копится судебная практика.

Обычно, в любой организации имеется как минимум стандартный набор, плюс/минус данные из различных СКУД (система контроля и управления доступом), а именно:

  1. фамилия, имя, отчество;
  2. год, месяц, дата и место рождения;
  3. адрес;
  4. семейное, социальное, имущественное положение;
  5. образование, профессия, должность, доходы;
  6. биометрические персональные данные.

Практика же судебных решений еще более расширяет перечни персональных данных, например, суды признавали персональными данными:

  1. сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  2. номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
  3. фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция – перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Тем не менее, Закон требует от нас обеспечить безопасность персональных данных, как при традиционном докуменообороте, так и при обработке данных в автоматизированном виде.

Как соответствовать требованиям закона?

Закон гласит, что персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных – с использованием средств автоматизации или вручную.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер – определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Так же необходимо раздельно хранить носители персональных данных, которые обрабатываются в различных целях.

При автоматизированной обработке персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Для выполнения этих требований, нужно провести ряд организационно-технических мероприятий. Возможно, придется привлечь специалистов компаний-интеграторов.

При автоматизированной обработке можно так же обратиться к нам и избавить себя хотя бы от части головной боли по вопросу соответствия и сократить свои издержки. Мы предлагаем минимум два решения, позволяющих приблизится к образу «идеального оператора» ведущего кадровый учет:

Автор: Cloud4Y

Источник

Поделиться

* - обязательные к заполнению поля