Top.Mail.Ru

Работа с персональными данными без ошибок: в вопросах и ответах

В конце мая мы провели онлайн-семинар «Работа с персональными данными без ошибок». По его итогам собрали ответы спикера Юлии Жижериной на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенной аргументацией.

Можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА? Кого указывать в приказе о перечне лиц, имеющих доступ к персданным, можно ли его составить без Ф.И.О.? Надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах? Что делать, если работник отзывает свое согласие на обработку персданных? Сколько целей обработки персданных можно указать в одном согласии? Нужно ли согласие работника при добавлении его в общий чат мессенджера? И др.

Вопрос 1.

При приеме на работу работник подписал согласие на обработку персональных данных, а спустя полгода решил его отозвать, но продолжает работать. Разве он может так сделать? Что делать нам?

Работник может отозвать свое согласие на обработку персданных, которое он дал ранее работодателю. Запретить ему это мы не можем. Однако даже с отозванным согласием работодатель продолжает обработку его персональных данных, но только в минимально необходимом объеме.

Напомним, по общему правилу согласие на обработку персональных данных не требуется, когда (п. 2–11 ч. 1 ст. 6 Закона о персданных 1):

  • обработка осуществляется для исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
  • собираются персональные данные близких родственников работника в объеме, предусмотренном личной карточкой, карточкой учета военнообязанного, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
  • запрашиваются сведения о состоянии здоровья работника для установления возможности выполнения им трудовой функции;
  • обработка персональных данных связана с выполнением работником своих трудовых обязанностей, например, при командировании;
  • обработка проводится в целях организации пропускного режима;
  • обработка в отношении уволенных работников в рамках установленных сроков.

Согласие на обработку персональных данных требуется, если обрабатываются:

  • дополнительная информация о работнике (номер его мобильного телефона, адрес личной электронной почты и т. д.);
  • биометрические персональные данные (любые физиологические данные – рост и вес (для спецодежды), дактилоскопические, радужная оболочка глаз, анализы ДНК и иные физиологические или биологические характеристики, в том числе изображение человека (фотография и видео-
    запись), которые позволяют установить его личность и используются оператором для установления личности субъекта);
  • специальные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

Соответственно, персональные данные из первой категории работодатель может продолжать обрабатывать, даже если работник отзовет свое согласие на их обработку.

Вместе с тем на практике работодатели часто запрашивают данные сверх указанных, на всякий случай (например, номер личного мобильного телефона, адрес фактического проживания и пр.). Поэтому надо проверить, какие данные сверх минимально необходимых вы собрали с работников, их обработку надо прекратить, а сами данные уничтожить в установленном порядке.

Иногда встречается ситуация, когда работник уже после конфликтного увольнения требует уничтожить его персональные данные, отозвав свое согласие. Здесь вспоминаем о требованиях ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» 2, согласно которым документы по личному составу хранятся 50/75 лет. Соответственно, требование работника в указанной части выполнить не можем.

Вопрос 2.

Сколько целей обработки персданных можно указывать в одном согласии? Можно несколько или должна быть только одна?

С 01.09.2022 ч. 1 ст. 9 Закона о персданных начала действовать в новой редакции, согласно которой согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Ранее речь шла только о конкретности, информированности и сознательности. Сейчас к этим требованиям добавилось еще два – предметность и однозначность. Многие специалисты стали считать, что это означает конкретную и четкую цель получения согласия на обработку персданных и, соответственно, 1 цель для 1 согласия. Однако в законе об этом прямо не сказано, как и не было соответствующих разъяснений от Роскомнадзора.

Мы проанализировали судебную практику и в настоящее время не видим, чтобы организации штрафовали за совмещение разных целей в 1 согласии. Поэтому полагаем, что совмещать несколько...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 700 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Защита персональных данных и архивные документы

Распространяется ли закон о персданных на архивные документы? Какие документы считаются архивными? Заметим, что ответы на эти вопросы пока не однозначны. Как тогда архиву защищать персональные данные при ответе на запросы граждан, в т.ч. из-за рубежа? На какую нормативную базу можно опереться? Данная статья стала результатом подготовки ответов на вопросы наших читателей, которым сложно работать при отсутствии ясной и логичной нормативной базы.

Как документировать уничтожение персональных данных

Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства. Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Номер телефона сотрудника - это персональные данные?

С коллегами возник спор, является ли номер телефона сотрудника персональными данными и можем ли мы его запрашивать у сотрудника и указывать в кадровых документах. Например, в личном деле, в трудовом договоре, допсоглашении и пр. Помогите разобраться, чтобы ничего не нарушить.

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Защита персональных данных и архивные документы

Распространяется ли закон о персданных на архивные документы? Какие документы считаются архивными? Заметим, что ответы на эти вопросы пока не однозначны. Как тогда архиву защищать персональные данные при ответе на запросы граждан, в т.ч. из-за рубежа? На какую нормативную базу можно опереться? Данная статья стала результатом подготовки ответов на вопросы наших читателей, которым сложно работать при отсутствии ясной и логичной нормативной базы.

Примеры согласий работников на обработку персональных данных «на все случаи жизни» (часть 2)

Показываем, как составить 9 вариантов согласий работников на обработку их персональных данных: на обработку биометрических данных (при оформлении пропуска), персональных данных членов семьи работника, специальной категории персданных, их передачу третьим лицам или сбор у них, на распространение и др. Объясняем, когда требуется оформить отдельные согласия и как все-таки можно несколько согласий объединить в едином документе. Предупреждаем о крупных штрафах за ошибки. Приводим сроки хранения.

Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.