В конце мая мы провели онлайн-семинар «Работа с персональными данными без ошибок». По его итогам собрали ответы спикера Юлии Жижериной на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенной аргументацией.
Можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА? Кого указывать в приказе о перечне лиц, имеющих доступ к персданным, можно ли его составить без Ф.И.О.? Надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах? Что делать, если работник отзывает свое согласие на обработку персданных? Сколько целей обработки персданных можно указать в одном согласии? Нужно ли согласие работника при добавлении его в общий чат мессенджера? И др.
При приеме на работу работник подписал согласие на обработку персональных данных, а спустя полгода решил его отозвать, но продолжает работать. Разве он может так сделать? Что делать нам?
Работник может отозвать свое согласие на обработку персданных, которое он дал ранее работодателю. Запретить ему это мы не можем. Однако даже с отозванным согласием работодатель продолжает обработку его персональных данных, но только в минимально необходимом объеме.
Напомним, по общему правилу согласие на обработку персональных данных не требуется, когда (п. 2–11 ч. 1 ст. 6 Закона о персданных 1):
- обработка осуществляется для исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
- собираются персональные данные близких родственников работника в объеме, предусмотренном личной карточкой, карточкой учета военнообязанного, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
- запрашиваются сведения о состоянии здоровья работника для установления возможности выполнения им трудовой функции;
- обработка персональных данных связана с выполнением работником своих трудовых обязанностей, например, при командировании;
- обработка проводится в целях организации пропускного режима;
- обработка в отношении уволенных работников в рамках установленных сроков.
Согласие на обработку персональных данных требуется, если обрабатываются:
- дополнительная информация о работнике (номер его мобильного телефона, адрес личной электронной почты и т. д.);
- биометрические персональные данные (любые физиологические данные – рост и вес (для спецодежды), дактилоскопические, радужная оболочка глаз, анализы ДНК и иные физиологические или биологические характеристики, в том числе изображение человека (фотография и видео-
запись), которые позволяют установить его личность и используются оператором для установления личности субъекта);
- специальные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
Соответственно, персональные данные из первой категории работодатель может продолжать обрабатывать, даже если работник отзовет свое согласие на их обработку.
Вместе с тем на практике работодатели часто запрашивают данные сверх указанных, на всякий случай (например, номер личного мобильного телефона, адрес фактического проживания и пр.). Поэтому надо проверить, какие данные сверх минимально необходимых вы собрали с работников, их обработку надо прекратить, а сами данные уничтожить в установленном порядке.
Иногда встречается ситуация, когда работник уже после конфликтного увольнения требует уничтожить его персональные данные, отозвав свое согласие. Здесь вспоминаем о требованиях ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» 2, согласно которым документы по личному составу хранятся 50/75 лет. Соответственно, требование работника в указанной части выполнить не можем.
Сколько целей обработки персданных можно указывать в одном согласии? Можно несколько или должна быть только одна?
С 01.09.2022 ч. 1 ст. 9 Закона о персданных начала действовать в новой редакции, согласно которой согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Ранее речь шла только о конкретности, информированности и сознательности. Сейчас к этим требованиям добавилось еще два – предметность и однозначность. Многие специалисты стали считать, что это означает конкретную и четкую цель получения согласия на обработку персданных и, соответственно, 1 цель для 1 согласия. Однако в законе об этом прямо не сказано, как и не было соответствующих разъяснений от Роскомнадзора.
Мы проанализировали судебную практику и в настоящее время не видим, чтобы организации штрафовали за совмещение разных целей в 1 согласии. Поэтому полагаем, что совмещать несколько...