Звонок по России бесплатно.

Минцифры России дало рекомендации по работе с персональными данными

Выбери курс
Обучение доступно сразу после оплаты.
Купи
Положи курс в корзину и оплати.
Обучись онлайн
Изучи материал и пройди тестирование.
Забери документ
Оригинал доставим почтой бесплатно.

Минцифры России дало рекомендации по работе с персональными данными

Минцифры России направило методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных. Рекомендации содержат тезисы, которые могут быть интересны и другим категориями операторов персональных данных, включая работодателей в целом (Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. № ЛБ-С-074-24059).

Так, приведен список актов, которые работодателю рекомендуется издать по вопросам работы с персональными данными:

  • политику оператора персональных данных в отношении обработки персональных данных;
  • положение об обработке и защите персональных данных;
  • обязательство о соблюдении режима конфиденциальности персональных данных;
  • перечень должностей сотрудников, имеющих доступ к персональным данным;
  • приказ о назначении лица, ответственного за организацию обработки персональных данных;
  • приказ об утверждении мест хранения материальных носителей персональных данных.

Приведен также перечень рекомендованных структурных компонентов политики организации в отношении обработки персональных данных и их примерное содержание.

Кроме того, чиновники рекомендовали указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных“, а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1ч. 1 ст. 19 Закона о персональных данных, а также в случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Рекомендовано хранение персональных данных осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также указывать сроки хранения персональных данных и иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.

По вопросу о возможности предоставления согласия на обработку персональных данных в электронной форме в ведомстве отмечают, что такое согласие может быть дано, если иное не установлено федеральным законом, в любой позволяющей подтвердить факт его получения форме, в том числе в письменной форме, с использованием электронной цифровой подписи, акцептирования публичной оферты, получения на мобильный телефон и (или) электронную почту уникальной последовательности символов и иными способами и формами. Вместе с тем, в случаях, когда Законом о персональных данных предусмотрена обработка персональных данных только с согласия в письменной форме субъекта персональных данных, то равнозначным признается только согласие в форме электронного документа, подписанного электронной подписью.

Письменная форма согласия должна включать в себя цель обработки персональных данных, а согласие субъекта персональных данных на обработку его персональных данных может включать в себя только одну цель обработки персональных данных. Указанная норма является императивной и не подлежит расширенному толкованию. При обработке персональных данных субъекта в случаях, требующих составления письменной формы согласия в соответствии с ч. 4 ст. 9 Закона о персональных данных, указанное согласие составляется отдельно для каждой из целей обработки персональных данных.

Согласие работника на обработку персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона о персональных данных.

Приведены примеры, когда согласие работника на обработку персональных данных не требуется. Так, обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет или при передаче персональных данных работника третьим лицам, предусмотрена законодательством РФ.

Примерами прямого указания в законодательстве РФ норм, связанных с обработкой персональных данных, могут стать следующие случаи:

  • согласно ст. 9 и п. 2 ст. 11 Федерального закона от 1 апреля 1996 г. № 27-ФЗ “В иных случаях” в обязанности работодателя вменяется представление в Пенсионный фонд РФ в определенных случаях и в установленные сроки информации о работниках, содержащей персональные данные;
  • согласно ст. 357 Трудового кодекса работодатель обязан предоставить персональные данные работников государственным инспекторам труда при выполнении ими надзорных и контрольных функций.

Другим примером может служить обязанность в соответствии с п. 2 ст. 10 Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации” владельцев сайтов в сети “Интернет” разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, а также адресе электронной почты.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

В соответствии с ч. 1 ст. 17 Федерального закона от 12 января 1996 г. № 10-ФЗ “О профессиональных союзах, их правах и гарантиях деятельности” для осуществления уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам. Согласно Определению Верховного Суда РФ от 20 июля 2012 г. № 56-КГ12-3 согласие работников на передачу их персональных данных профессиональному союзу не требуется, так как коллективный договор заключен от имени всех работников, а профсоюз, запрашивая персональные данные, контролирует соблюдение коллективного договора.

Не требуется согласие при обработке персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2 (утв. Постановлением Госкомстата РФ от 5 января 2004 г. № 1), либо в случаях, установленных законодательством (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

Согласно п. 1 ст. 20 Федерального закона от 27 июля 2004 г. № 79-ФЗ “О государственной гражданской службе Российской Федерации” граждане, претендующие на замещение должности гражданской службы и замещающие должность гражданской службы, включенную в перечень, установленный нормативными правовыми актами, обязаны предоставлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов своей семьи.

В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

Не требуется согласие при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Закона о персональных данных в рамках трудового законодательства, в частности согласно ст. 228 ТК РФ о несчастном случае с работником работодатель обязан проинформировать соответствующие органы.

Передача персональных данных работника организации кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующее обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании в соответствии с Правилами оказания гостиничных услуг в РФ.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. С учетом положений п. 2 ч. 1 ст. 6 Закона о персональных данных, согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

По истечении сроков, определенных законодательством, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.

Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных ТК РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т. д.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу. Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством РФ, в частности законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 ТК РФ работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами РФ, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами РФ.

Чиновники напомнили, что ст 16 Закона о персональных данных установлены права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных, в частности запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев: при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. В частности, примерами могут стать следующие ситуации:

  • если по результатам автоматизированной обработки данных выявлено, что у работника недостаточный уровень квалификации, то на этом основании уволить его как несоответствующего занимаемой должности нельзя;
  • если по результатам автоматизированной обработки данных выявлено, что работник не зашел на территорию организации, то на этом основании привлечь его к ответственности нельзя.

Это подтверждается также ст. 86 ТК РФ, согласно которой при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

В рекомендациях отмечается, что оператор персональных данных обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Если предоставление персональных данных является обязательным, то оператор должен разъяснить последствия непредоставления таких данных, например, отказ в предоставлении персональных данных работодателю при заключении трудового договора повлечет невозможность заключения такого договора.