Top.Mail.Ru

Работа с персональными данными. Отвечаем на вопросы

22.05.2024 журнал «Юридический справочник руководителя» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». Во время семинара спикер – эксперт по трудовым отношениям Юлия Жижерина – отвечала на вопросы слушателей семинара. Мы собрали наиболее интересные в статью, дополнив ссылками на нормативную базу и расширенную аргументацию. Публикуем разбор следующих ситуаций: что делать, если сотрудник продолжает работать, но отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; требуется ли согласие работника на обработку персональных данных, если камеры установлены только в коридорах; какое согласие на обработку персданных нужно запросить с работника для запроса о нем данных в учебном заведении; каких сотрудников надо указывать в приказе, утверждающем перечень лиц, имеющих доступ к персданным; можно ли прописать в ЛНА места хранения и обработки персданных; нужно ли согласие работника для добавления его в общий чат мессенджера и пр.

Вопрос 1

При приеме на работу работник подписал согласие на обработку персональных данных, а спустя полгода решил его отозвать, но продолжает работать. Разве он может так сделать? Что делать нам?

Работник может отозвать свое согласие на обработку персданных, которое он дал ранее работодателю. Запретить ему это мы не можем. Однако даже с отозванным согласием работодатель продолжает обработку его персональных данных, но только в минимально необходимом объеме.

Напомним, по общему правилу согласие на обработку персональных данных не требуется, когда (п. 2–11 ч. 1 ст. 6 Закона о персданных 1):

  • обработка осуществляется для исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
  • собираются персональные данные близких родственников работника в объеме, предусмотренном личной карточкой, карточкой учета военнообязанного, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
  • запрашиваются сведения о состоянии здоровья работника для установления возможности выполнения им трудовой функции;
  • обработка персональных данных связана с выполнением работником своих трудовых обязанностей, например, при командировании;
  • обработка проводится в целях организации пропускного режима;
  • обработка в отношении уволенных работников в рамках установленных сроков.

Согласие на обработку персональных данных требуется, если обрабатываются:

  • дополнительная информация о работнике (номер его мобильного телефона, адрес личной электронной почты и т. д.);
  • биометрические персональные данные (любые физиологические данные – ​рост и вес (для спецодежды), дактилоскопические, радужная оболочка глаз, анализы ДНК и иные физиологические или биологические характеристики, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта);
  • специальные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

Соответственно, персональные данные из первой категории работодатель может продолжать обрабатывать, даже если работник отзовет свое согласие на их обработку.

Вместе с тем на практике работодатели часто запрашивают данные сверх указанных, на всякий случай (например, номер личного мобильного телефона, адрес фактического проживания и пр.). Поэтому надо проверить, какие данные сверх минимально необходимых вы собрали с работников, их обработку надо прекратить, а сами данные уничтожить в установленном порядке.

Иногда на практике встречается ситуация, когда работник уже после конфликтного увольнения требует уничтожить его персональные данные, отозвав свое согласие. Здесь вспоминаем о требованиях ст. 22.1 Федерального закона от 22.10.2004 № 125‑ФЗ «Об архивном деле в Российской Федерации» 2 , согласно которым документы по личному составу хранятся 50/75 лет. Соответственно, требование работника в указанной части выполнить не можем.

Вопрос 2

Сколько целей обработки персданных можно указывать в одном согласии? Можно ли несколько или должна быть только одна?

С 01.09.2022 ч. 1 ст. 9 Закона о персданных начала действовать в новой редакции, согласно которой согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Ранее речь шла только о конкретности, информированности и сознательности. Сейчас к этим требованиям добавилось еще два – ​предметность и однозначность. Многие специалисты стали считать, что на практике это означает конкретную и четкую цель получения согласия на обработку персданных и, соответственно, одну цель для одного согласия. Однако в законе об этом прямо не сказано, как и не было соответствующих разъяснений от Роскомнадзора.

Мы проанализировали судебную практику и в настоящее время не видим, чтобы организации штрафовали за совмещение разных целей в одном согласии. Поэтому полагаем, что совмещать несколько целей обработки персданных в одном согласии можно (например, объединив согласие на обработку общих персональных данных и биометрических, а также на получение личной информации от третьих лиц). Вместе с тем обратите внимание: отдельное письменное согласие потребуется на распространение персональных данных работника (ст. 10.1 Закона о персданных).

Фрагмент документа

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 700 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Применение полиграфа в работе

Рассказываем, что такое полиграф, как проходит на нем исследование, а также как законодательно регламентируется его использование, какие существуют риски и ограничения его применения в трудовых и связанных с ними отношениях. На примерах показываем, когда можно использовать полиграф и какие нюансы необходимо учитывать, например, при проверке соискателя при приеме на работу или необходимости выявить виновника хищения либо оценить коррупционную составляющую. Предлагаем образцы формулировок в локальные нормативные акты и трудовые договоры, согласий на прохождение работниками и соискателями психофизиологического исследования с применением полиграфа и на обработку общих и специальных категорий персональных данных.

Как правильно уничтожать персональные данные

С прошлого года стало недостаточно просто уничтожить документы с персональными данными. Надо следовать специальной процедуре, составив акт об их уничтожении. Рассказываем, каков порядок уничтожения личных сведений, когда и в какие сроки это необходимо сделать, какой штраф полагается за нарушение требований закона. Приводим образцы документов (приказ о создании постоянно действующей комиссии по уничтожению документов с персональными данными, акт об уничтожении персданных, уведомление работника об уничтожении неправомерно использованных персональных данных) и формулировки для ЛНА о порядке уничтожения персданных, договора с контрагентом об обязательстве уничтожить передаваемые по договору персональные данные.

Получение согласия на обработку персданных работника-курьера

Выясняем, как обрабатывать персональные данные курьеров, чтобы не нарушить нормы действующего законодательства. Узнаете, какие данные и когда становятся персональными, а когда не позволяют идентифицировать человека; как оформить передачу персданных курьера третьим лицам (физическим и юридическим), когда согласие на передачу личной информации не требуется; какая ответственность грозит за нарушение закона; как минимизировать риски при передаче персданных сотрудника. Вы сможете воспользоваться готовым образцом согласия на обработку персональных данных, разрешенных субъектом для распространения, который приведен в статье.

Какие документы запросит Роскомнадзор на проверке по персданным

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Отличие грифов «ДСП», «Конфиденциально» и «Коммерческая тайна»

Грифов ограничения доступа к информации несколько и зависят они от вида информации, которая грифуется. Когда какой необходимо использовать? Все ли организации могут применять гриф «ДСП»? Что делать, если ваш партнер просит использовать гриф, который вы не применяете? В чем отличие грифа «Конфиденциально» от «Коммерческая тайна»?

Какие документы запросит Роскомнадзор на проверке по персданным

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Применение полиграфа в работе

Рассказываем, что такое полиграф, как проходит на нем исследование, а также как законодательно регламентируется его использование, какие существуют риски и ограничения его применения в трудовых и связанных с ними отношениях. На примерах показываем, когда можно использовать полиграф и какие нюансы необходимо учитывать, например, при проверке соискателя при приеме на работу или необходимости выявить виновника хищения либо оценить коррупционную составляющую. Предлагаем образцы формулировок в локальные нормативные акты и трудовые договоры, согласий на прохождение работниками и соискателями психофизиологического исследования с применением полиграфа и на обработку общих и специальных категорий персональных данных.

Мобильный телефон на рабочем месте: запретить нельзя разрешить

Безусловно, многим работникам мобильный телефон необходим для выполнения должностных обязанностей. Без него не обойтись, например, водителю, курьеру, экспедитору или сотруднику, работающему удаленно. Для таких сотрудников целесообразно установить правила пользования корпоративной связью. Однако другим категориям сотрудников использование мобильной связи на работе, наоборот, будет только мешать. Можно ли их ограничить в возможности использования телефона и наказать за допущенные нарушения?