Персональные данные. Новые требования к защите сведений о сотрудниках

3222
Стенограмма видеолекции А.В. Слепова.

Смотреть видеолекцию 

А.В.Слепов: Интерес к теме персональных данных в последнее время возрос в связи с тем, что вступил в силу так называемый закон о локализации баз персональных данных, а также в связи с тем, что проверки в сфере защиты и обработки персональных данных были выведены из под сферы действия закона № 294-ФЗ о защите прав предпринимателей при проведении мероприятий госконтроля и надзора.

Что является персональными данными

Основным вопросом является вопрос о том, что является персональными данными. Согласно определению, данному в законе о персональных данных, в качестве таковых рассматривается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

 Это очень широкое определение и практически любые данные могут быть отнесены к разряду персональных. Важно отметить, что определение персональных данных, которое действовало до 2011 года, согласно которому в качестве персональных данных понимались данные, на основании которых можно определить конкретное физическое лицо, к сожалению, больше не применимо.

 В качестве примера можно сказать, что такой набор данных, как наличие в электронной подписи или просто в подписи, электронном письме данных, таких как ФИО, адрес электронной почты, должность, место работы, контактные данные, эта совокупность данных может рассматриваться как персональные.

Кто является оператором персональных данных?

Согласно закону, оператор это орган власти, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами, организует или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав таких данных и совершаемые с ними действия. В качестве оператора персональных данных также могут выступать и иностранные компании, причем не только в лице филиалов и представительств иностранных компаний, которые зарегистрированы на территории РФ, но и компании, которые не имеют никакого юридического присутствия на территории России.

В том случае, если, к примеру, у компании есть интернет-сайт и с помощью этого сайта компания осуществляет бизнес в России, например Facebook,  в таком случае требования законодательства о персональных данных все равно будут распространяться на иностранную компанию.

Иногда разделяются понятия оператора и обработчика персональных данных, под которым понимается лицо, которое осуществляет обработку персональных данных по поручению оператора. Считается, что такое лицо действует не самостоятельно, оператором не является и, соответственно, требования законодательства о персональных данных к нему не применимы, однако, это не так, понятия обработчика пока в нашем законодательстве нет, в принципе, любая компания, которая, так или иначе, осуществляет обработку персональных данных будь то самостоятельно или по поручению другого лица рассматривается в качестве оператора. Например, компания, которая оказывает услуги по сдаче в аренду сервисных мощностей, также является оператором в терминах закона о персональных данных.

Читайте в электронном журнале

Обработка персональных данных

Обработка персональных данных – любое действие или совокупность действий, как с использованием компьютера, так и без его использование, которое совершается в отношении персональных данных, например: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение и др. действия.

Иногда мы сталкиваемся с позицией компаний о том, что они же персональные данные не обрабатывают, они их просто хранят. Это может быть применимо к компаниям, которые предоставляют серверы для хранения данных, поскольку сам процесс хранения уже рассматривается как процесс обработки персональных данных, соответственно лицо становится оператором и должно выполнять требования законодательства о персональных данных.

В результате обезличивания персональных данных, соответствующие обезличенные данные персональными быть не перестают. Именно таким образом сформулирован наш закон о персональных данных, соответственно, к таким данным продолжают применяться требования законодательства о персональных данных.

Если вы собираете общедоступные данные, например, с использованием интернета, социальных сетей и т.д., то такого рода деятельность тоже рассматривается как обработка персональных данных.

Локализация баз персональных данных

Основной новеллой является закон о локализации баз персональных данных, который вступил в силу с 01 сентября 2015г. и касается он не только иностранных компаний и компаний, которые входят в международный холдинг, он может касаться любой компании, к примеру, те из них, которые используют так называемые «облачные услуги». Операторы, которые такие услуги предоставляют, часто используют серверные мощности, которые расположены не на территории РФ. Согласно основной части закона № 242-ФЗ с 011.09.2015г. оператор персональных данных при сборе таких данных, в том числе с использованием интернета, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, включая обновление и изменение, и извлечение персональных данных  граждан РФ с использованием баз данных, которые находятся на территории РФ.

Данное положение вызвало много споров, трактовок, к примеру, одним из основных спорных вопросов является вопрос о том, достаточно ли обеспечить сохранение персональных данных в базе данных, расположенной  на территории РФ, только при первичном сборе данных или вторичная обработка, например, перенесение данных из одной системы в другую, также подпадает под действие закона.

Что считать базой персональных данных

Примечательно, что между Минсвязи и Роскомнадзором, который является регулятором в сфере защиты персональных данных, возник спор о том, что считать базой персональных данных.

По мнению Министерства, базой персональных данных являются только электронные базы, по мнению Роскомнадзора это могут быть также и физические базы, такие как картотеки, личные дела. Если исходить из того, что шкаф с личными делами в отделе кадров может рассматриваться как база данных, то составление соответствующего набора документов может рассматриваться в качестве первичного сбора, соответственно, при определенных трактовках закона, может  рассматриваться как его выполнение, даже если впоследствии эти данные вносятся в системы, расположенные на территории РФ.

 К сожалению, до сих пор официальных толкований по этим и другим спорным вопросам нет, более того, ни Минсвязи, ни Роскомнадзор не уполномочены такие комментарии давать.

Можно ли передавать персональные данные за границу

Несмотря на всю строгость закона о локализации, все-таки, ошибочно полагать, что данные нельзя передавать в зарубежные страны. Безусловно, что как таковая трансграничная передача данных остается разрешенной, более того, запрещена быть не может, поскольку это бы противоречило Европейской Конвенции, членом которой является Россия.

В качестве примера такой передачи можно рассматривать передачу резервной копии в иностранную компанию, например, компанию, входящую в одну группу с российской дочерней компанией. С другой стороны, разрешен также доступ со стороны иностранных коллег к тем базам данных, информационные системы которых расположены в РФ, но при условии, что от работников, если доступ осуществляется к их данным, получено письменное согласие, а также, при условии того, что права доступа должным образом урегулированы на локальном уровне.

Хранение и использование баз данных, которые были собраны и составлены до 01.09.2015г. также допускается, при условии, что эти данные уже не актуализируются после 01.09.2015г, поскольку в этом случае требуется перенос такой базы данных в РФ.

Таким образом, любой первичный сбор данных, а также их актуализация, должны проходить с использованием баз данных, расположенных только в РФ.

Санкции за нарушение правил обработки и хранения персональных данных

В связи с этим у представителей бизнеса возникает два вопроса: каковы санкции за его неисполнение и какова практика его исполнения?

Наиболее вероятной санкцией может быть привлечение к административной ответственности, в случае, если будет выявлено по результатам плановой или внеплановой проверки, нарушений требований закона о локализации.

В настоящий момент максимальный размер штрафа составляет 10 тыс. рублей. Это, конечно, недостаточно большой штраф для того, чтобы он кого-то испугал, но в настоящий момент на рассмотрении в Госдуме находится законопроект, согласно которому предлагается увеличить размеры штрафов, пока он принят  только в первом чтении, более того, та редакция, которая принята в первом чтении, она вообще исключает ответственность за нарушения в сфере локализации баз данных.

Более серьезные последствия нарушения закона о локализации могут возникнуть для тех компаний, которые осуществляют свою деятельность в сфере электронной торговли и, в принципе, их бизнес тесно, напрямую и главным образом связан с интернетом. Собственно говоря, риском нарушения закона в этом случае блокировка доступа к интернет-сайту на территории РФ, если, соответственно, компания собирает данные с помощью веб-сайта или размещает данные на нем и сервера, которые отвечают за хранение этих данных или их обработку, находятся не на территории РФ. Этот риск релевантен, даже если компания не имеет присутствия в РФ, но ее интернет-сайт имеет территориальную направленность на российскую аудиторию.

Принято считать, что с учетом того, как сформулирован закон, риск блокировки возникает только в случае вынесения или вступления в силу соответствующего решения суда.

Это так, но, к сожалению, не стоит думать, что пройдет значительный срок до того момента, когда Роскомнадзор сможет выдать предписание о блокировке данных, поскольку, в силу процессуального законодательства, у Роскомнадзора, как потенциального истца по такому спору, или же у другого лица, например, субъекта персональных данных, которое считает, что его права нарушены, есть право требовать от суда введения обеспечительных мер. На практике это происходит и суд вправе санкционировать блокировку сайта еще до вынесения решения в качестве таких обеспечительных мер.

Безусловно, что нарушение прав субъекта, в результате обработки данных через сайт, еще нужно доказать, а с другой стороны, если мы говорим об иностранной компании, то ее еще нужно должным образом уведомить о начале процесса и вызвать в суд. Но, несмотря на все эти процессуальные сложности, этот риск является, пожалуй, наиболее серьезным, который сопряжен с нарушением закона о локализации.

Практика применения закона

Что касается практики применения закона, то пока прошло всего несколько месяцев с момента вступления его в силу, практика еще не столь многочисленна, но, тем не менее, определенно, результаты уже есть. В частности, прошли проверки Роскомнадзора, которые были запланированы еще в 2014 году, в некоторых компаниях, которые осуществляют хранение данных за рубежом, но по результатам этих проверок нарушений пока не выявлено. С результатами проверок, включая конкретные нарушения конкретных норм законодательства о ПД, вы можете ознакомиться на сайте proverki.gov.ru,  это абсолютно открытая публичная информация.

Более 6 тысяч операторов уже сообщили о местонахождении баз данных, причем у всех операторов таким местом является РФ. Но несколько операторов, все-таки, сообщили о том, что какие-то базы данных у них находятся не в РФ. В отношении таких операторов Роскомнадзор автоматически возбудил административные производства. Это не совсем правильно, потому что в любом случае требуется документальная проверка, к примеру, компания может обладать базой данных за рубежом, но сформирована она могла быть до вступления в силу закона, т.е. до 01.09.2015г., соответственно, требования законодательства на нее не распространяются.

Что касается практики компаний по соблюдению требований закона, то ряд компаний уже осуществил перенос баз данных в РФ. При этом используются разные подходы, а именно, кто-то арендует серверы, кто-то покупает их, кто-то обходится уже имеющимися средствами. Пока, все-таки, большинство компаний находится еще в процессе переноса, который не завершен.

Уведомление Роскомнадзора об обработке персональных данных

Существует достаточно распространенный стереотип, что на большинство операторов требования уведомить Роскомнадзор об обработке персональных данных не распространяются.

Действительно, в законе о персональных данных установлен определенный перечень исключений ситуаций, в которых не требуется направлять такого уведомления. Уведомлений не требуется, если обработка данных осуществляется в рамках трудовых отношений, а также, если обработка персональных данных осуществляется в целях исполнения договора субъектами персональных данных.

Многие компании полагают, что они четко подпадают под это определение, к сожалению, это является заблуждением, поскольку в деятельности большинства компаний встречается обработка и иных категорий персональных данных, например, персональных данных представителей контрагентов юридических лиц, персональных данных работников, осуществляющих трудовую деятельность, но не в компании работодателя, а в других компаниях, которые входят в одну группу с работодателем, персональных данных потребителей, у которых никаких договорных отношений с оператором персональных данных нет и т.д. Т.о, все-таки, большинство компаний такое уведомление направить обязаны.

Если говорить о форме уведомления. Если обработка персональных данных, которая осуществляется в вашей компании, не подпадает в полной мере под те исключения, которые установлены в законе, то в уведомлении вы должны изложить и отразить все виды обработки персональных данных. В том числе тех, которые подпадают под установленные законом исключения. Для формирования и подготовки уведомления можно использовать электронную форму, которая размещена на сайте Роскомнадзора, но лучше, все-таки, придерживаться той формы, которая закреплена в административном регламенте Роскомнадзора.

Если говорить о сведениях, касающихся местонахождения баз данных. Были приняты изменения в соответствующую форму и вступили в силу с 14.12.2015г., в соответствии с этой датой в уведомлениях, которые будут подаваться после этой даты, должна содержаться информация о стране, в которой находится база данных, адрес и наименование информационной системы или базы данных. Причем те компании, которые направили уведомления еще до вступления в силу закона о локализации, также обязаны предоставить в Роскомнадзор соответствующую уточненную информацию со сведениями о местонахождении базы данных.

Прежде чем вы решите направить уведомление, если вы еще этого не сделали, то рекомендуется сначала посмотреть, каким образом осуществляется обработка персональных данных в вашей компании и предпринять меры по приведению деятельности компании в соответствие с требованиями закона о персональных данных. Роскомнадзор может проверить достоверность тех сведений, которые вы указываете в уведомлении. С другой стороны, не стоит полагать, что если вы уведомление не направите, то к вам никогда не придет Роскомнадзор с проверкой, многие компании попадают в план, при этом, не направив в Роскомнадзор соответствующего уведомления.

В 2014 году Роскомнадзор направил операторам персональных данных более 50 тыс. писем с одним только вопросом: Почему они до сих пор не направили уведомление? Соответственно, если они получат такое письмо у них может быть только два варианта: либо ссылаться на те исключения, которые установлены в законе, либо такое уведомление направить.

Проверки  в сфере обработки персональных данных

Проверки в сфере персональных данных выведены из-под действия закона о защите прав предпринимателей при проведении таких проверок. На практике это лишает многих компаний процессуальных гарантий при проведении таких проверок, на основе которых компании были вправе или могли оспорить результаты соответствующих проверочных мероприятий. Эти гарантии касались оснований проведения проверок, сроков, объема запрашиваемых документов. Выведение проверок в сфере персональных данных из-под действия закона о защите прав предпринимателей не означает, что Роскомнадзор имеет полную свободу при проведении соответствующих мероприятий и его действия не будут ничем ограничены.

До сих пор такие проверки проводятся на основании административного регламента Роскомнадзора, но в настоящий момент на завершающей стадии рассмотрения находится проект постановления Правительства об утверждении положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства. В принципе, уже на это положение можно ориентироваться, как на положение, на основе которого уже в 2016 году будут проводиться соответствующие проверки.

Основные моменты нового Положения о контроле в сфере персональных данных

Предметом проверок являются 3 основных пункта:

  • деятельность компании по автоматизированной/неавтоматизированной обработке персональных данных, т.е. фактические действия, которые организация совершает с теми персональными данными, которые она получает в процессе своей деятельности, в т.ч. вопросы сбора, передачи и т.д.;
  • проверка документов, локальных нормативных актов и документов, подтверждающих выполнение тех мер, которые указаны в ст. 18.1 закона о персональных данных, в качестве предмета проверки могут выступать формы согласий, которые компании используют и получают от субъектов персональных данных на обработку соответствующих данных;
  • информационная система персональных данных, в т.ч. с точки зрения местонахождения соответствующих БД.

Если по результатам проверки Роскомнадзор выявляет какие-либо нарушения, то он выдает предписания об устранении таких нарушений. Если в процессе проверки компания будет конструктивно сотрудничать с Роскомнадзором, предоставлять своевременно соответствующие документы, не вести себя в отношении проверяющих формальным образом, то по результатам проверки срок предписания, если не будут выявлены какие-либо нарушения, может быть достаточно комфортным для организации. На практике встречаются сроки до полугода, соответственно, в течение этого срока вполне реально выявленные недостатки устранить.

Если установленное предписание не будет выполнено в соответствующий срок и это будет установлено по результатам внеплановой проверки Роскомнадзора, то теперь у Роскомнадзора появляется полномочие на этом этапе выдать предписание оператору персональных данных о приостановлении обработки данных, если Роскомнадзор полагает, что такая обработка может нарушать права и законные интересы субъектов ПД. Эта мера может существенно ударить по бизнесу компании, поскольку в ряде случаев прекращение обработки данных будет, в сущности, означать прекращение основной деятельности компании.

Роскомнадзор будет анализировать информацию на сайтах компаний

В положении появляется новый вид проверочных мероприятий:  мероприятие систематического наблюдения. На практике это будет, к примеру, анализ Роскомнадзором публично доступной информации, такой как, веб-сайты компании, Роскомнадзор может анализировать наличие соответствующих политик сайтов.

Конкретные методы такого систематического наблюдения не раскрываются. Безусловно, что это расширяет набор оперативных инструментов Роскомнадзора.

Получается, что в зону риска входят не только те компании, которые попали в план проверок, к которым Роскомнадзор пришел с внеплановой проверкой, но и иные компании.

Кто в компании  должен отвечать за обработку персональных данных

 В каждой компании должно быть назначено лицо ответственное за организацию обработки персональных данных.

Причем в качестве такого лица может быть назначен, в принципе, любой сотрудник, причем, необязательно в качестве штатного ответственного лица, соответствующая функция может быть передана ему по совмещению, более того, закон допускает назначение такого лица даже на основании гражданско-правового договора, в качестве контрагента может выступать как физическое, так и юридическое лицо.

Единственным исключением является генеральный директор, которого нельзя назначить ответственным лицом, поскольку в силу закона ответственное лицо является подотчетным самому генеральному директору.

Для компаний, у которых уровень защищенности информационных систем персональных данных  установлен начиная с третьего (3, 2, 1), то в отношении этих компаний действует дополнительное требование о назначении лица ответственного за обеспечение безопасности ПД в информационных системах, причем, в данном случае это может быть только работник оператор. Все-таки, большинство операторов персональных данных  относятся к 4 уровню защищенности, соответственно, такого требования в отношении их не установлено.

А можем ли мы снять юридическую, включая административную, ответственность с генерального директора и переложить ее на другое ответственное лицо?

Ответ на этот вопрос зависит от того, возложены ли такое лицо организационно-распорядительная или административно-хозяйственная функции, например, право распоряжения бюджетом организации, наличие доверенности, право совершения каких-либо юридически значимых действий от имени компании. Если таких полномочий у ответственного лица нет, то в случае обнаружения каких-либо нарушений штраф может быть наложен именно на генерального директора компании. В большинстве случаев именно так и происходит.

Что касается оформления назначения ответственного лица, то оно происходит путем издания приказа. С точки зрения подотчетности такого лица генеральному директору, важно отметить, что это не просто вопрос иерархии, а также вопрос предоставления ответственным лицом соответствующих отчетов по результатам проверок, проведенных в компании, на предмет соответствия ее деятельности требованиям законодательства о персональных данных.  Причем, представлять такие отчеты требуется не реже, чем 1 раз в 3 года.

Какие документы должны быть у  компании

В каждой организации, в каждом операторе персональных данных  должен быть документ, который называется «Политика компании в отношении обработки персональных данных».

Также должен быть принят более предметный, более подробный документ, а именно, положение, касающееся обработки персональных данных, в нем могут быть более подробно описаны все процессы обработки данных, такие как перечень должностей работников и иных лиц, имеющих доступ к персональным данным, вопросы ограничения и разграничения такого доступа и порядок, хранение, передача и уничтожение персональных данных.

Причем сфера регулирования такого локального акта не должна ограничиваться вопросами обработки персональных данных работников. Безусловно, что компания может принять несколько актов, но должны покрываться случаи обработки как  персональных данных  работников, так и иных категорий субъектов персональных данных.

В законе также отдельно выделяются локальные акты, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в сфере персональных данных, а также устранение последствий таких нарушений. Соответствующие локальные акты необязательно должны быть самостоятельными, положения могут быть включены в уже существующие или какие-то общие локальные акты. Со всеми локальными актами и политиками работников необходимо знакомить под роспись.

Политика должна быть опубликована, будь то на сайте в интернете, в соцсети, в прайсе и проч., она должна быть доступна для неограниченного круга лиц. Причем, если компания осуществляет обработку персональных данных с использованием сети интернет, а для того, чтобы компания считалась осуществляющей обработку персональных данных при помощи интернета, в принципе, достаточно пользоваться электронной почтой. Соответственно, если это так. То такая политика обязательно должна быть опубликована именно с использованием интернета.

Что касается важности опубликования такой политики, то, как уже отмечалось, Роскомнадзор вправе осуществлять мероприятия систематического наблюдения за обработкой персональных данных, соответственно, обнаружение отсутствия такой политики может привести к негативным последствиям. Во-первых, если мы говорим о соблюдении требований закона о локализации, то отсутствие политики может рассматриваться как нарушение, достаточное для блокировки интернет-сайта, если данные обрабатываются за рубежом. Если мы говорим об административной ответственности, то законопроект, который сейчас находится на рассмотрении, предусматривает специальный состав, специальную ответственность и штрафы выше 10 000 руб. за отсутствие такой политики.

Если говорить об иностранных компаниях, то недостаточно иметь глобальную политику на английском или ином иностранном языке, которая размещена на глобальном сайте корпорации. Политика должна быть на русском языке и должна быть копией того локального нормативного акта, который принят у вас в организации в России либо в филиале, либо в представительстве, либо в юрлице. Содержание политики не ограничивается вопросами обработки данных с использованием интернета, в принципе, политика покрывает все сферы, в которых компания, так или иначе, обрабатывает персональные данные..

Ряд требований к другим документам

Рассмотрим  такие документы, как типовые формы, например, анкета кандидата, которую многие компании используют для целей найма сотрудников. Если типовая форма создается в бумажном виде, то к ней применяются определенные требования, которые установлены в Постановлении Правительства № 687. В такой форме должны быть указаны цели обработки данных, наименование и адрес оператора ПД, а также сроки обработки персональных данных, причем, в контексте общения с кандидатом понимаются сроки рассмотрении резюме и принятия решения о найме, либо об отказе от найма соответствующего кандидата. Нарушение требований к содержанию типовых форм является одним из самых распространенных нарушений, которые Роскомнадзор выявляет в процессе проведения своих проверок.

Другим документом является уведомление субъекта персональных данных о получении данных от третьих лиц. К примеру, работодатель получает информацию о стаже работника от его предыдущих работодателей, в этом случае либо действующий работодатель, либо его бывший работодатель должны уведомить работника о том, что такие данные запрашиваются не непосредственно у работника, а у соответствующего третьего лица, своего работодателя. Более того, от работника должно быть получено письменное согласие на такого рода обработку.

В ТК РФ установлено общее положение о том, что практически любая передача персональных данных  третьим лицам требует получения письменного согласия работника на такую передачу. Есть ряд исключений, когда это общее требование не применяется, в частности, если передача данных требуется в целях предупреждения угрозы жизни и здоровью работника, либо в случаях, предусмотренных ТК РФ или иными законами, например, по мотивированному письменному запросу госоргана в рамках его компетенции. Не все ситуации подпадают под исключения, например, передача данных страховой компании, агентству, которое осуществляет  расчет зарплаты и т.д. под эти исключения не подпадают.

Пример. Сотрудница была уволена по пдп. В п. 6 ст. 81 ТК РФ, а именно, за разглашение персональных данных других работников. Она передала органам прокуратуры и МВД документы, которые содержали персональных данных других работников, причем сделала она это по устной просьбе соответствующих органов в отсутствии необходимого письменного запроса. Несмотря на все доводы сотрудницы, суд в данном деле признал правоту работодателя.

Письменное согласие на обработку персональных данных

Важно также уделять важное внимание форме письменного согласия. Это является одним из основных вопросов  при проведении проверок и часто в этой связи выявляются нарушения.

Письменная форма предполагает, что оно должно быть подписано работником собственноручно. Законодательство теперь допускает подпись с использованием электронной подписи, но пока такое на практике распространено достаточно слабо. Важно, чтобы письменное согласие содержало все необходимые реквизиты, которые указаны в ст. 9 закона о персональных данных. Причем, такое согласие может быть оформлено в виде как отдельного документа, так и, к примеру, вписано в текст трудового договора, если все необходимые реквизиты в таком договоре будут присутствовать.

Согласие должно быть конкретным. К примеру, иногда признается в качестве нарушения, когда потребителя вынуждают подписать типовое согласие на обработку персональных данных, на содержание которого он  не может оказать никакого влияния, если те случаи обработки персональных данных, которые в этом согласии указаны, не совсем отражают реально объем данных, который требуется оператору.

Если работодатель поручает обработку персональных данных работника третьему лицу, которое действует по поручению работодателя, то в согласии также должно быть указано наименование и адрес такого третьего лица.

Как оформить отношения с контрагентом, осуществляющим обработку персональных данных

Что касается оформления отношений с контрагентом, то если мы говорим о договорах с обработчиками, т.е. лицами, осуществляющими обработку персональных данных по поручению оператора, то важно соблюдать требования к содержанию договора между оператором и таким лицом.

Например, передача на аутсорсинг таких функций как бронирование авиабилетов или осуществление расчета заработной платы. Если говорить о внутригрупповых отношениях, то часто на практике информация о работниках, осуществляющих трудовую деятельность в компании группы, хранится на сервере какой-то одной компании, а все другие организации поручают этой компании обработку персональных данных  своих работников. Это должно быть оформлено соответствующим поручением, договором между юрлицами.

В таком договоре должен быть обязательно указан перечень действий, которые лицо, осуществляющее обработку персональных данных  по поручению, выполняет в отношении персональных данных , цели обработки, а также обязанности этого лица по обеспечению конфиденциальности и безопасности обработки персональных данных . Поскольку в этом случае, несмотря на то, что это является поручение обработки данных, тем не менее, происходит передача данных от работодателя к третьему лицу, также необходимо получить письменное согласие работника.

Если речь идет о независимых контрагентах, то важно перед заключением такого договора провести проверку этого контрагента. Это не является требованием закона, но является достаточно настоятельной рекомендацией, потому что за действие такого лица, например, за те нарушения и тот ущерб, который может быть причинен субъектам персональных данных, отвечает сам оператор. Первоначально ответственность перед субъектами всегда будет нести оператор.

Обработка персональных данных  кандидатов на должности

Все зависит от формы, в которой такая обработка осуществляется, в автоматизированной или с использованием бумажных носителей.

Если говорить об автоматизированной обработке, то, к примеру, допускается получения согласия кандидата на обработку персональных данных  путем проставления соответствующего клика или галочки на сайте. Но только при условии, что в этой ситуации не требуется письменного согласия кандидата, например, если не предполагается передача данных кандидата на территорию иностранного государства, которое не входит в установленный перечень государств, обеспечивающих с точки зрения российского законодательства адекватную защиту персональных данных (США, например, не входит в такой перечень).

Что касается сроков для уничтожения резюме, то в течение 30 рабочих дней с момента отказа в найме кандидата оно должно быть уничтожено, причем, как в бумажной форме, так и в электронной.

Существует запрет исключения автоматизированной обработки персональных данных. Применительно к найму и общению с кандидатами в качестве такой автоматизированной обработки может рассматриваться получение резюме по электронной почте или через сайт. И в данном случае, чтобы обработка данных не осуществлялась исключительно в автоматизированном режиме, а именно, не было принято решение отказать в рассмотрении кандидата или, напротив, пригласить его на интервью, необходимо осуществить определенные меры, которые направлены на идентификацию соответствующего человека, например, звонок соответствующему кандидату.

Видеонаблюдение и фотосъемка

Что касается обработки персональных данных  работников, то важно отметить, что если ваша организация планирует устанавливать камеры видеонаблюдения в офисе, то, с учетом позиции Роскомнадзора, работников необходимо уведомить об этом за 2 месяца до того, как эти камеры начнут функционировать.

Если говорить про фотосъемку, то примечателен пример, когда компании в процессе проведения проверки было выдано предписание в связи с выявленным нарушением. На территории компании была размещена доска почета работников с их фотографиями, но при этом письменного согласия работников на это не было, что и было признано нарушением.

Имейте в виду, что в тех случаях, когда на основании фотографии можно сотрудника идентифицировать, если размещение фотографий и служит для идентификации таких сотрудников, например, со стороны других сотрудников, то нельзя размещать такие фотографии без предварительного получения письменного согласия сотрудников. Сбор персональных данных  из открытых источников также рассматривается в качестве обработки таких данных, причем, если компания осуществляет такой сбор, то, тем не менее, требования законодательства о локализации баз данных в данном случае также применяются.

Уничтожение персональных данных

Порядок уничтожения персональных данных  является обязательным пунктом для проведения проверок, которые в настоящий момент регулируются административным регламентом.

По общему правилу, все материальные носители персональных данных, которые не передаются в архив и не используются в рамках налогового и бухгалтерского учета необходимо уничтожить, причем, это касается не только распечаток, не только документов, которые существуют в  физической форме, но и также их электронных копий, поскольку в отношении хранения электронных копий вообще не установлено практически никаких исключений, никаких сроков хранения.

Для того чтобы подтвердить, в случае проверки, исполнение вашей организацией требований к уничтожению персональных данных  необходимо иметь набор документов – общие положения об уничтожении персональных данных, они могут быть указаны в локальном акте, может быть создана комиссия, если у вас большая компания, или назначено отдельное лицо, которое отвечает за вопросы уничтожения персональных данных, ну и, наконец, сам факт уничтожения физических носителей должен подтверждаться актом.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией


Опрос

Когда ваша компания составляет график отпусков?

  • за 2 недели до окончания года 42.42%
  • постфактум, когда работники реально идут в отпуск 12.12%
  • когда дойдут руки 9.09%
  • графика нет, проверок не боимся 0%
  • мы молодцы — уже составили! 36.36%
результаты

Рассылка



© Актион кадры и право, Медиагруппа Актион, 2008–2016

Журнал «Трудовые споры» –
практика разрешения трудовых конфликтов
Использование материалов сайта возможно только с письменного разрешения редакции журнала «Трудовые споры»


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль