04.08.2021 Законы для бизнеса После нововведений в любой момент компанию могут проверить. Например, сотрудник пожалуется в Роскомнадзор, что руководитель передал банку его персональные данные или вывесил на стенде заявление в качестве образца. В компанию придет проверяющий и оштрафует за каждую обнаруженную ошибку в работе с персональными данными. Рассказываем, за какие нарушения наказывает Роскомнадзор, и как избежать штрафов. 

Что такое персональные данные

Персональные данные (ПД) — это любые сведения или факты о человеке, по которым можно прямо или косвенно установить его личность. В законе нет перечня, какие сведения относятся к персональным данным.

Поэтому мы приводим примерный список, который вы можете сокращать или расширять:

• пол, возраст или дата рождения;

• образование, профессия, квалификация;

• адрес проживания и номер телефона;

• семейное положение, наличие детей;

• финансовое состояние и размер зарплаты;

• ссылка на персональный сайт или профиль в социальной сети;

• фотографии и видеоматериалы, по которым можно установить личность человека.

Важно: без согласия работника нельзя хранить и распространять сведения о нем. Например, на сайте опубликован обезличенный номер телефона, и непонятно, кому именно он принадлежит — это не нарушает закона о персональных данных. Но если на сайте опубликованы фамилия сотрудника, его должность и контакты для связи, руководителю необходимо получить согласие работника на публикацию этих сведений. 

Операторы персональных данных. Если обычный человек, ИП, организация, учреждение органов власти собирают, обрабатывают и хранят ПД — они автоматически становятся операторами персональных данных. Интернет-магазин, на сайте которого пользователь добровольно вводит сведения о себе (имя или логин, адрес электронной почты или телефон, адрес для доставки товара), становится оператором ПД. 

Работодатели тоже считаются операторами персональных данных, потому что они собирают, хранят и распространяют личные сведения о сотрудниках. 

Когда нужно получить согласие на распространение

С 1 марта 2021 года закон о персональных данных изменился. До нововведения операторы писали общий текст согласия на хранение, обработку и распространения ПД.

Если работник подписывал такой документ — работодатель мог распоряжаться сведениями о сотрудниках по своему усмотрению: опубликовать на сайте или в СМИ, передать партнерам.

Сейчас ужесточились требования к форме согласия — в документе нужно прямо и недвусмысленно указать перечень данных, которые планируете распространять. Это требование касается компаний, которые предоставляют сведения о сотруднике неопределенному кругу лиц или передают третьим лицам.

 

Распространение сведений неопределенному кругу лиц. Если личные сведения сотрудника могут стать публичными, — работодатель обязан оформить согласие на их распространение. Например, согласие необходимо получить, если организация:

• публикует на сайте сведения о сотрудниках;

• в СМИ, социальных сетях или на корпоративном сайте дает ссылки на аккаунты сотрудников;

• использует личный телефон сотрудника в рекламных материалах. 

Передача сведений третьим лицам. Если работодатель передает личные сведения о работнике третьим лицам, необходимо получить согласие на обработку и распространение ПД. Рассмотрим три рабочих ситуации, связанных с передачей данных. 

• Кладовщик отправил грузчика получить товар и выдал доверенность, в которой указаны паспортные данные работника. 

• Руководитель заключил со страховщиками договор ДМС и вписал в полис сведения из паспорта сотрудника. 

• Бухгалтер передала кредитному менеджеру сведения о должности и зарплате сотрудника, его банковские реквизиты. 

Во всех этих ситуациях сведения о сотрудниках переходят третьим лицам, поэтому необходимо получить согласие на распространение ПД.  

Когда не нужно брать согласие на распространение

Работодатель может не брать у сотрудников согласие на распространение данных, которые запрашиваются по трудовому законодательству. Эта информация нужна, чтобы начислять зарплату, заполнять трудовые книжки и отчитываться в различные фонды.

Например, не нужно получать согласие на хранение сведений, которые попадают в личную карточку работника:

• свидетельство о пенсионной страховке — СНИЛС;

• диплом или другие документы, подтверждающие образование и квалификацию;

• документы воинского учета — для лиц, которых могут призвать в армию.

Кроме того, есть ряд государственных учреждений, куда работодатель может передавать персональные данные без согласия сотрудника:

• суд и служба судебных приставов.

Во всех остальных случаях необходимо получить согласие сотрудника. 

Как составить согласие на распространение

Можно оформить бумажный или электронный документ.

Унифицированной формы согласия нет, но Роскомнадзор перечислил сведения, которые необходимо внести в согласие:

• контакты сотрудника (номер телефона, домашний адрес, email); 

• наименование, адрес, ИНН и ОГРН работодателя;

• сервер, домен или имя файла веб-страницы, на которой будут опубликованы персональные данные сотрудника;

• перечень персональных данных, на которые работодатель получает согласие (Ф. И. О., дата рождения, семейное положение, образование, профессия, социальное положение, доходы, национальность, состояние здоровья, политические, религиозные и философские убеждения, интимная жизнь, биометрические персональные данные);

• условия, при которых персональные данные можно передать третьим лицам.

Отдельно необходимо перечислить сведения, в отношении которых устанавливаются запреты и ограничения. По своему желанию работник помечает сведения, на которые он устанавливает запрет на распространение. ПримерМенеджер Круглов И. И. письменно разрешил опубликовать на сайте компании Ф. И. О., дату и месяц рождения, но отказался указывать год и место рождения. Образец согласия на обработку и распространение персональных данных С 1 июля 2021 года на сайте Роскомнадзор действует сервис, который помогает работодателю составить форму согласия на обработку персональных данных, разрешенных для распространения. Воспользоваться сервисом могут работодатели, авторизованные на Госуслугах. Специалисты Роскомнадзора проверяют заполненную форму, указывают на ошибки и рекомендуют, какие еще сведения нужно включить в документ  

Сколько хранить персональные данные

После увольнения сотрудника работодатель продолжает хранить его персональные данные.

Это необходимо, чтобы начислить, удержать и перечислить налоги за последний месяц работы, отчитаться в фонды и налоговую инспекцию, предоставить документы проверяющим. Срок хранения — 3 года начиная с 1 января следующего года.

Например, если сотрудник уволился в августе 2021 года, то его согласие на обработку ПД можно уничтожить только после 1 января 2025 года.

Ответственность за нарушение закона о персональных данных 

С 27 марта 2021 года в два раза выросли штрафы за нарушение правил работы с личной информацией сотрудников. Самый высокий штраф — 500 000 ₽.

Обработка персональных данных без письменного согласия сотрудника.

К обработке персональных данных относится передача, хранение и распространение.

Если работодатель нарушит один из этих пунктов, например, на общем собрании расскажет о зарплате сотрудника, премиях, бонусах и других денежных вознаграждениях — его могут оштрафовать.

Не выполнили требование сотрудника обновить, заблокировать или уничтожить его персональные данные. Например, кадровик забыл обновить в зарплатной карте паспортные данные работника или его банковские реквизиты, и сотрудник не смог вовремя получить зарплату — это нарушение. 

Сотруднику не предоставили информацию о его персональных данных. Например, бухгалтер не выдал сотруднику расчетный листок, справку или сведения о страховом стаже. Если сотрудник пожалуется в надзорные органы — оштрафуют бухгалтера и компанию.

Нарушили условия хранения персональных данных. Если бухгалтер оставит на рабочем столе расчетные листки сотрудников, и посторонние увидят сведения о зарплате — бухгалтера и компанию могут оштрафовать. 

Обработка персональных данных в ситуациях, не описанных в законе. Например, работодатель передал личные сведения сотрудника — Ф. И. О., адрес, телефон — коллекторскому агентству. Если сотрудник не давал согласия на передачу этих данных третьим лицам, значит, работодатель нарушил закон. 

Лариса Трембицкая, разбирается в трудовом законодательстве

Особенности передачи персональных данных работников

Партнер юридической компании «Гареев, Махно и Касьян» Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

При передаче данных сотрудников в пределах компании или третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных, иначе компания может понести финансовые потери

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Персональные данные: ответы на популярные вопросыКто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД.

В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах.

Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ.

Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников.

Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д.

Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку1. Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О.

и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Что учесть при переводе бизнеса в Интернет?Решили продавать товары или услуги через сайт – подумайте о грамотной обработке персональных данных, чтобы не пришлось платить тысячи и миллионы за нарушение закона

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

https://www.youtube.com/watch?v=0AWFg5qE4tQ\u0026pp=ygWRAdCc0L7QttC10YIg0LvQuCDRgNCw0LHQvtGC0L7QtNCw0YLQtdC70Ywg0YHQvtC-0LHRidC40YLRjCDQv9C10YDRgdC-0L3QsNC70YzQvdGL0LUg0LTQsNC90L3Ri9C1INGA0LDQsdC-0YLQvdC40LrQsCDRgtGA0LXRgtGM0LXQuSDRgdGC0L7RgNC-0L3QtT8%3D

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

• фамилия, имя, отчество;
• дата рождения;
• адрес места регистрации/места жительства;
• сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
• сведения о трудовом (страховом) стаже;
• сведения о привлечении работника к материальной ответственности;
• сведения о состоянии здоровья и результатах медицинского обследования работника;
• любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

https://www.youtube.com/watch?v=0AWFg5qE4tQ\u0026pp=YAHIAQE%3D

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора.

Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется.

Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

• в Фонд социального страхования РФ, Пенсионный фонд РФ;
• в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
• когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
• наличия у работодателя доверенности на представление интересов работника;
• когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника.

Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу).

По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

https://www.youtube.com/watch?v=q2YyzdUFlnQ\u0026pp=ygWRAdCc0L7QttC10YIg0LvQuCDRgNCw0LHQvtGC0L7QtNCw0YLQtdC70Ywg0YHQvtC-0LHRidC40YLRjCDQv9C10YDRgdC-0L3QsNC70YzQvdGL0LUg0LTQsNC90L3Ri9C1INGA0LDQsdC-0YLQvdC40LrQsCDRgtGA0LXRgtGM0LXQuSDRgdGC0L7RgNC-0L3QtT8%3D

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников.

Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации.

Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.

11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

По материалам журнала «Наша бухгалтерия»

Чем грозит разглашение информации о работнике

Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица.

Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника? В статье рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу.

Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.

Поводом для написания статьи стал вопрос от читателя, написавшего в редакцию.

Вопрос в тему

Написал генеральному директору объяснительную записку. На следующий день все в офисе знали и обсуждали ее подробности. Разве такого рода записки не являются конфиденциальной информацией?

Представим, что сотрудник опоздал на работу. После появления на рабочем месте он написал и передал своему руководителю (генеральному директору) объяснительную записку, в которой изложил причины отсутствия.

На следующий день все коллеги были в курсе личных проблем сотрудника. При этом сам работник никого не посвящал в подробности. Стало понятно, что начальник рассказал всему отделу о содержании объяснительной.

Возможны и иные схожие ситуации, например: кадровик ознакомился с трудовой книжкой сотрудника и рассказал по секрету парочке коллег из других подразделений о предыдущих местах работы и причинах увольнения с них.

Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя / сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников. В статье рассмотрим нестандартные ситуации, возникающие на практике.

Персональные данные или нет?

Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:

• фамилия, имя, отчество;
• пол;
• возраст;
• место жительства;
• изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
• образование, квалификация, профессиональная подготовка;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
• деловые и иные личные качества;
• медицинские сведения;
• номер телефона;
• прочие сведения, которые могут идентифицировать работника.

Сведения о заработной плате сотрудника также являются информацией, содержащей его персональные данные (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).

Таким образом, любой документ, в котором содержится какая-либо информация о конкретном работнике, будет являться носителем его персональных данных. Ведь в заявлении о переводе сотрудник может указать сведения о своем заболевании. Или в объяснительной записке работник сошлется на расторжение брака. Не каждый захочет, чтобы личная жизнь стала достоянием общественности.

Работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).

Кого можно привлечь к ответственности

• Чтобы привлечь к ответственности сотрудника за разглашение чужих персональных данных, нужно доказать следующее:
• 1) разглашенные сведения относятся к персональным данным другого работника;
• 2) эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей;

3) сотрудник обязывался не разглашать такую информацию (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).

Таким образом, привлечь к ответственности за разглашение персональных данных можно далеко не каждого.

ТК РФ позволяет работодателю уволить подчиненного, если он допустит утечку персональных данных своих коллег (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Приведем несколько примеров из судебной практики и проанализируем, какие обстоятельства влияли на разрешение конкретных дел.

Истец обратился в суд и просил признать увольнение по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ незаконным. Считал, что не допускал нарушений, за которые с ним расторгли трудовой договор. При трудоустройстве истец был ознакомлен с положением о защите персональных данных работников, с политикой информационной безопасности ответчика.

Он также обязался не разглашать информацию, составляющую коммерческую тайну (секрет производства), служебную информацию работодателя и принял на себя обязательство о неразглашении персональных данных.

В ходе рассмотрения дела выяснилось, что истец со своей рабочей электронной почты направил на внешний электронный адрес третьего лица некоторые документы. Например, заключение о выплате премии, положение о премировании, о выплате премии работнику после его увольнения, положение о социальном обеспечении работников.

Таким образом, установлено и подтверждено документами, что истец с рабочего стационарного компьютера, принадлежащего ответчику, посредством корпоративной почты систематически направлял на внешний электронный адрес служебные документы, локальные нормативные документы, относящиеся к категории «служебная (конфиденциальная) информация», и персональные данные сотрудников. Суд оставил в силе приказ об увольнении (апелляционное определение Московского городского суда от 16.06.2016 по делу № 33-23105/2016).

Согласие работника на передачу персональных данных контрагенту

Работников каждой организации можно разделить на две категории: первые в рамках трудовых обязанностей взаимодействуют с третьими лицами, а вторые (преимущественно back-office) не осуществляют внешних контактов.

При этом внешнее взаимодействие подразумевает как минимум обмен сведениями об имени и адресе получателя и отправителя, используемом способе коммуникации, а также о содержании или метаданных отправленных сообщений.

Все эти сведения, за редким исключением ,можно квалифицировать как персональные данные.

https://www.youtube.com/watch?v=q2YyzdUFlnQ\u0026t=210s

Согласно пп.3 ст.3 ФЗ «О персональных данных», передача является одним из способов обработки персональных данных. Согласно ст.

86 ТК РФ, «обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества».

Но данная норма не даёт ответа, как и на каких основаниях допускается обработка персональных данных работника в целях выполнения трудовых обязанностей. Более того, закрытый перечень целей обработки персональных данных работников бескомпромиссно запрещает их обработку в иных целях.

Но есть и хорошая новость. ФЗ «О персональных данных» жестко не регламентирует определение, наименование и классификацию целей обработки, и каждый оператор вправе самостоятельно определять актуальные для него цели.

Вероятно, передачу персональных данных контрагентам в рамках исполнения трудовых обязанностей можно отнести к цели «контроля количества и качества выполняемой работы».

Обезличенная коммуникация может и не содержать персональных данных, а без персональных идентификаторов работодатель не сможет проверить количество и качество работы, поскольку не сможет отнести имеющиеся сведения к субъекту персональных данных.

Также перед работодателями встают вопросы о правовых основаниях передачи персональных данных работника, и, в частности, о том, достаточно ли наличия в должностной инструкции обязанности по коммуникации с третьими лицами. Ст.

88 ТК РФ запрещает сообщать персональные данные работника третьей стороне без письменного согласия работника за редкими исключениями, к которым не относится выполнение трудовых обязанностей.

Также данная норма запрещает сообщать персональные данные работника в коммерческих целях без его письменного согласия, но, по всей видимости, эта норма подразумевает запрет извлечения выгоды из самого факта передачи персональных данных, а не запрет передачи контактных данных для заключения коммерческих сделок.

И другое важное ограничение, которое часто бывает незаслуженно забыто — обязанность предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Уведомление потенциального или действующего контрагента о необходимости использования персональных данных в целях, в которых они сообщены, не вызывает вопросов. Но требование подтверждения соблюдения этого правила сформулировано не как право, а как обязанность работодателя. При этом закон не

содержит требований к форме и содержанию такого подтверждения, оставляя выбор за работодателем.

Учитывая, что ст.88 ТК РФ требует получения письменного согласия работника на передачу его персональных данных третьему лицу, необходимо определить форму и содержание такого согласия. Для этого необходимо обратиться к ч.4 ст.9 ФЗ «О персональных данных», которая требует в том числе указывать в согласии лиц, которым будет поручена обработка персональных данных.

Если считать, что каждый потенциальный или действующий контрагент, с которым коммуницирует работник, обрабатывает персональные данные в рамках поручения оператора, то это повлечёт необходимость подписания с каждым контрагентом поручения на обработку персональных данных и получения нового согласия при контакте с каждым новым контрагентом, что очевидно будет дополнительным препятствием к заключению сделки.

Теоретически, контрагент может обрабатывать персональные данные работников оператора вне рамок поручения, действуя как самостоятельный оператор. В таком случае контрагент должен определить правовое основание обработки из перечня в ст.6 ФЗ «О персональных данных».

Это может быть и простое (не письменное) согласие, получение которого можно реализовать на практике, в том числе с помощью электронной почты. Также с определённой опаской основанием такой обработки может служить законный интерес оператора.

Обработка в целях заключения или исполнения договора в данном случае не может считаться законным основанием, поскольку работник оператора не является стороной договора между контрагентом и оператором. 

Поскольку передача персональных данных работника потенциальному или действующему контрагенту может иметь место как при использовании поручения на обработку, так и без него, вопрос о письменном согласии работника на передачу данных третьему лицу остаётся открытым. Ч.4 ст.

9 ФЗ «О персональных данных» не требует указывать в согласии перечень получателей персональных данных, если они не обрабатывают данные по поручению оператора.

Следуя такой трактовке закона, оператор может освободить себя от бремени получения согласия для передачи персональных данных каждому новому получателю в рамках одной цели, однако отношении контролирующих органов к такой точке зрения является непредсказуемым.

В качестве решения обозначенных выше проблем операторы могут использовать обезличивание персональных данных работников при их передаче контрагентам.

В частности, работники могут использовать вымышленные имена или другие идентификаторы, которые не позволят установить относимость персональных данных к конкретному субъекту, и тем самым контрагент получит минимально необходимый набор данных, что очевидно будет способствовать защите интересов субъектов персональных данных.

Для многих типов сделок такой подход является допустимым, поскольку при заключении договора с юридическим лицом имя конкретного исполнителя имеет глубоко вторичное значение, в отличие от предмета сделки.

Правомерно ли если организация единовременно возьмет согласие у сотруд

Ответ: Персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС.

В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ, Разъяснения Роскомнадзора).

Работодателю надо запросить отдельное письменное согласие работника на передачу его персональных данных третьему лицу (с указанием конкретного третьего лица).

Контрагент вправе передавать персональные данные работникам своей организации при соблюдении установленного порядка.

На каждую передачу персональных данных работника третьим лицам необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ).

Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.

Обоснование: Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ)).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Таким образом, передача персональных данных является обработкой персональных данных.

По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных. Отдельного согласия потребует обработка персональных данных, разрешенных субъектом персональных данных для распространения (п. 1 ч. 1 ст. 6, ст. 10.1 Закона N 152-ФЗ).

Не требуется согласия субъекта персональных данных в случаях, перечисленных в п. п. 2 — 11 ч. 1 ст.

6 Закона N 152-ФЗ, в том числе когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Необходимость согласия работника на передачу третьему лицу его персональных данных. В рассматриваемой ситуации работник, чьи персональные данные указаны в договоре оказания услуг между организациями, не является ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ (ч. 3 ст. 6 Закона N 152-ФЗ).

При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6 Закона N 152-ФЗ).

Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом.

Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона N 152-ФЗ).

Таким образом, в рассматриваемом случае заключение договора оказания услуг между организациями преследует коммерческие цели, поэтому работодатель не вправе передавать персональные данные работников без их согласия третьим лицам.

Согласие работника на передачу персональных данных на обработку конкретному третьему лицу — документ, необходимость получения которого возникает, если работодатель передает персональные данные работника третьим лицам, в том числе поручает обработку персональных данных работника другим лицам, в частности при заключении гражданско-правовых договоров с контрагентами (абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).

В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).

На каждую передачу персональных данных работника третьим лицам необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст.

6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.

В согласии работника на обработку его персональных данных конкретным третьим лицом нужно указать, в частности, наименование контрагента, осуществляющего обработку персональных данных (также рекомендуется указать его ИНН, ОГРН), перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва (ч. 4 ст. 9 Закона N 152-ФЗ) (см. Форму: Согласие на передачу персональных данных работника третьим лицам (образец заполнения) (Подготовлен специалистами КонсультантПлюс, 2021) {КонсультантПлюс}).

В случае, когда работодатель передает персональные данные работника контрагенту без поручения на обработку персональных данных (например, когда от имени работодателя оказывать услуги контрагенту будет указанный работник), возможно прийти к выводу, что контрагент приобретает статус оператора и должен получить письменное согласие субъекта персональных данных (работника) на такую обработку. Поэтому работодателю следует передать своему контрагенту письменное согласие работника (п. п. 2, 3 ст. 3, п. 1 ч. 1 ст. 6 Закона N 152-ФЗ, абз. 3 ст. 88 ТК РФ).

В случае, когда с согласия работника работодатель поручает обработку персональных данных третьему лицу, ответственность перед работником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 3, 5 ст. 6 Закона N 152-ФЗ).

Работодатель обязан предупредить своего контрагента, получающего персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этого лица подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) (абз. 4 ст. 88 ТК РФ).

Контрагент, получивший персональные данные о физическом лице по договору оказания услуг, обязан принять меры для обеспечения выполнения обязанностей оператора, предусмотренных Законом N 152-ФЗ, а также меры по обеспечению безопасности таких персональных данных, в частности (п. п. 1, 2, 3 ч. 1 ст. 18.1, ч. 1, п. 8 ч. 2 ст. 19, ч. 1, п. 1 ч. 4 ст. 22.1 Закона N 152-ФЗ):

• издать приказ о назначении лица, ответственного за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
• установить правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных; обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• утвердить локальный акт по вопросам обработки персональных данных. В рассматриваемом случае таким документом может быть положение о порядке обработки персональных данных контрагентов и иных лиц, не являющихся работниками данной организации, в котором должны быть описаны все действия, связанные с обработкой персональных данных физических лиц — представителей других компаний, а также указаны ответственные работники за обработку таких персональных данных.

Обратите внимание! За нарушение законодательства в области персональных данных предусмотрена административная и уголовная ответственность (ст. 13.11 КоАП РФ, ст. 137 УК РФ).