Top.Mail.Ru

Работа с персональными данными. Отвечаем на вопросы

22.05.2024 журнал «Юридический справочник руководителя» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». Во время семинара спикер – эксперт по трудовым отношениям Юлия Жижерина – отвечала на вопросы слушателей семинара. Мы собрали наиболее интересные в статью, дополнив ссылками на нормативную базу и расширенную аргументацию. Публикуем разбор следующих ситуаций: что делать, если сотрудник продолжает работать, но отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; требуется ли согласие работника на обработку персональных данных, если камеры установлены только в коридорах; какое согласие на обработку персданных нужно запросить с работника для запроса о нем данных в учебном заведении; каких сотрудников надо указывать в приказе, утверждающем перечень лиц, имеющих доступ к персданным; можно ли прописать в ЛНА места хранения и обработки персданных; нужно ли согласие работника для добавления его в общий чат мессенджера и пр.

Вопрос 1

При приеме на работу работник подписал согласие на обработку персональных данных, а спустя полгода решил его отозвать, но продолжает работать. Разве он может так сделать? Что делать нам?

Работник может отозвать свое согласие на обработку персданных, которое он дал ранее работодателю. Запретить ему это мы не можем. Однако даже с отозванным согласием работодатель продолжает обработку его персональных данных, но только в минимально необходимом объеме.

Напомним, по общему правилу согласие на обработку персональных данных не требуется, когда (п. 2–11 ч. 1 ст. 6 Закона о персданных 1):

  • обработка осуществляется для исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий;
  • собираются персональные данные близких родственников работника в объеме, предусмотренном личной карточкой, карточкой учета военнообязанного, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
  • запрашиваются сведения о состоянии здоровья работника для установления возможности выполнения им трудовой функции;
  • обработка персональных данных связана с выполнением работником своих трудовых обязанностей, например, при командировании;
  • обработка проводится в целях организации пропускного режима;
  • обработка в отношении уволенных работников в рамках установленных сроков.

Согласие на обработку персональных данных требуется, если обрабатываются:

  • дополнительная информация о работнике (номер его мобильного телефона, адрес личной электронной почты и т. д.);
  • биометрические персональные данные (любые физиологические данные – ​рост и вес (для спецодежды), дактилоскопические, радужная оболочка глаз, анализы ДНК и иные физиологические или биологические характеристики, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта);
  • специальные данные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

Соответственно, персональные данные из первой категории работодатель может продолжать обрабатывать, даже если работник отзовет свое согласие на их обработку.

Вместе с тем на практике работодатели часто запрашивают данные сверх указанных, на всякий случай (например, номер личного мобильного телефона, адрес фактического проживания и пр.). Поэтому надо проверить, какие данные сверх минимально необходимых вы собрали с работников, их обработку надо прекратить, а сами данные уничтожить в установленном порядке.

Иногда на практике встречается ситуация, когда работник уже после конфликтного увольнения требует уничтожить его персональные данные, отозвав свое согласие. Здесь вспоминаем о требованиях ст. 22.1 Федерального закона от 22.10.2004 № 125‑ФЗ «Об архивном деле в Российской Федерации» 2 , согласно которым документы по личному составу хранятся 50/75 лет. Соответственно, требование работника в указанной части выполнить не можем.

Вопрос 2

Сколько целей обработки персданных можно указывать в одном согласии? Можно ли несколько или должна быть только одна?

С 01.09.2022 ч. 1 ст. 9 Закона о персданных начала действовать в новой редакции, согласно которой согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Ранее речь шла только о конкретности, информированности и сознательности. Сейчас к этим требованиям добавилось еще два – ​предметность и однозначность. Многие специалисты стали считать, что на практике это означает конкретную и четкую цель получения согласия на обработку персданных и, соответственно, одну цель для одного согласия. Однако в законе об этом прямо не сказано, как и не было соответствующих разъяснений от Роскомнадзора.

Мы проанализировали судебную практику и в настоящее время не видим, чтобы организации штрафовали за совмещение разных целей в одном согласии. Поэтому полагаем, что совмещать несколько целей обработки персданных в одном согласии можно (например, объединив согласие на обработку общих персональных данных и биометрических, а также на получение личной информации от третьих лиц). Вместе с тем обратите внимание: отдельное письменное согласие потребуется на распространение персональных данных работника (ст. 10.1 Закона о персданных).

Фрагмент документа

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Вопрос 3

Требуется ли согласие сотрудников на обработку биометрических персданных, если камеры установлены только в коридорах организации, а в кабинетах отсутствуют?

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Получение согласия на обработку персданных работника-курьера

Выясняем, как обрабатывать персональные данные курьеров, чтобы не нарушить нормы действующего законодательства. Узнаете, какие данные и когда становятся персональными, а когда не позволяют идентифицировать человека; как оформить передачу персданных курьера третьим лицам (физическим и юридическим), когда согласие на передачу личной информации не требуется; какая ответственность грозит за нарушение закона; как минимизировать риски при передаче персданных сотрудника. Вы сможете воспользоваться готовым образцом согласия на обработку персональных данных, разрешенных субъектом для распространения, который приведен в статье.

Какие документы запросит Роскомнадзор на проверке по персданным

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Как правильно уничтожать персональные данные

С прошлого года стало недостаточно просто уничтожить документы с персональными данными. Надо следовать специальной процедуре, составив акт об их уничтожении. Рассказываем, каков порядок уничтожения личных сведений, когда и в какие сроки это необходимо сделать, какой штраф полагается за нарушение требований закона. Приводим образцы документов (приказ о создании постоянно действующей комиссии по уничтожению документов с персональными данными, акт об уничтожении персданных, уведомление работника об уничтожении неправомерно использованных персональных данных) и формулировки для ЛНА о порядке уничтожения персданных, договора с контрагентом об обязательстве уничтожить передаваемые по договору персональные данные.

Типичные ошибки в работе с персональными данными

Изменение законодательства в сфере персональных данных и огромные штрафы за нарушения стимулируют еще раз проверить, все ли с персданными в организации в порядке. Автор выделяет 5 ошибок, которые чаще всего допускают организации в этой области.

Отличие грифов «ДСП», «Конфиденциально» и «Коммерческая тайна»

Грифов ограничения доступа к информации несколько и зависят они от вида информации, которая грифуется. Когда какой необходимо использовать? Все ли организации могут применять гриф «ДСП»? Что делать, если ваш партнер просит использовать гриф, который вы не применяете? В чем отличие грифа «Конфиденциально» от «Коммерческая тайна»?

Получение согласия на обработку персданных работника-курьера

Выясняем, как обрабатывать персональные данные курьеров, чтобы не нарушить нормы действующего законодательства. Узнаете, какие данные и когда становятся персональными, а когда не позволяют идентифицировать человека; как оформить передачу персданных курьера третьим лицам (физическим и юридическим), когда согласие на передачу личной информации не требуется; какая ответственность грозит за нарушение закона; как минимизировать риски при передаче персданных сотрудника. Вы сможете воспользоваться готовым образцом согласия на обработку персональных данных, разрешенных субъектом для распространения, который приведен в статье.

Какие документы запросит Роскомнадзор на проверке по персданным

Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.

Разглашение информации о сотруднике. Предостережения для работодателя

Любая реально работающая компания получает, обрабатывает, хранит и использует персональные данные своих сотрудников. К ним относится Ф.И.О., пол, возраст, место жительства, изображение сотрудника (фотография и видеозапись), образование, квалификация, семейное положение, наличие детей, родственные связи и др. Бывает, что эта информация становится доступной третьим лицам. Что делать, если такое произошло? Узнаем, какая именно информация считается персональными данными, кому и какая ответственность грозит за ее разглашение, а главное – ​разберем алгоритм действий компании в случае утечки персональных сведений о сотрудниках.