Лучшим стимулом для приведения в порядок документации по персональным данным сотрудников на предприятии, как показывает практика, является увеличение размера штрафов за несоблюдение действующих правил. В 2021 году произошло немало изменений, о которых кадровикам и руководству обязательно нужно знать, поскольку нарушение действующих требований влечет за собой немалые финансовые потери, не говоря уже об ухудшении корпоративного имиджа. Ответственный подход к налаживанию процесса обработки персонифицированных данных работника — это залог нормальных взаимоотношений с Роскомнадзором и другими контролирующими органами, а также профилактика утечки конфиденциальных сведений и гарантия отсутствия претензий со стороны нынешних и бывших штатных специалистов.
Нововведения в российском законодательстве, включая изменения в ФЗ-152, вступили в силу в марте и в июле текущего года, поэтому многие не успели в них сориентироваться. Предлагаем экспертный обзор изменений и общие рекомендации по организации сбора, хранения и других операций с ПДн персонала.
Сведения, относящиеся к персональным данным работника
Взаимоотношения между сотрудниками и работодателем регулируются широким спектром законов и подзаконных актов, в том числе нужно следовать положениям ФЗ-152. В нем прописана обязанность оператора информировать субъекта о целях обработки, обеспечивать безопасность ПДн и уничтожать сведения по запросу владельца либо после достижения поставленных задач. Сначала нужно определить состав персональных данных, ведь в данном случае приходится получать особые сведения, необходимые для реализации требований налоговой, трудовой нормативно-правовой базы и бухгалтерского учета. К общим ПДн относятся ФИО, дата и место рождения, адрес прописки, профессия и образование, семейный статус, наличие и количество детей, материальное положение, индивидуальные качества и биометрические данные.
Теперь подробнее о том, какие документы относятся к персональным данным сотрудника:
- водительские права;
- паспорт гражданина РФ;
- медицинские справки и свидетельства;
- документы, подтверждающие заключение или расторжение брака;
- налоговые выписки (например, справка о зарплате на предыдущем месте работы);
- дипломы, аттестаты;
- бумаги, подтверждающие постановку и снятие с воинского учета;
- анкета кандидата на должность;
- карточка, заполненная по форме Т-2;
- трудовая книжка.
Особенности использования персональных данных работодателем
Разобраться в тонкостях использования, хранения и распространения ПДн персонала могут только опытные кадровики и юристы, но есть моменты, о которых важно знать всем:
- любые действия в отношении личных сведений осуществляются после получения согласия на обработку (кроме определенных случаев, прописанных в ФЗ-152);
- если субъект недееспособен либо частично дееспособен, то подпись может поставить законный или уполномоченный представитель;
- в отдельных случаях (не соответствующих целям, прописанным в ТК РФ) даже согласие субъекта не дает права оператору передавать третьим лицам ПДн;
- в согласии нужно четко прописывать цели, методы и применяемые средства совершения операций с конфиденциальными сведениями;
- обойтись без разрешения работника можно, если ПДн получены из документов, которые субъект предоставил во время подписания трудового договора, либо от кадрового агентства, с которым официально сотрудничает соискатель;
- следует обязательно проинформировать работников о правилах и специфике работы с ПДн, прописанных в локальных нормативно-правовых актах;
- должен быть человек, ответственный за решение вопросов в сфере обработки личных данных работников;
- регулярно требуется проводить оценку применяемых средств защиты ПДн и устранять угрозы безопасности.
Существует ли перечень обязательных документов, регулирующих обработку персональных данных работника
Составление списка определяется типом оператора и характеристиками обрабатываемых ПДн. Чтобы персональные данные сотрудников в организации были защищены, а у проверяющих не возникало претензий, следует разработать и внедрить:
- политику в отношении ПДн;
- перечень персональных данных;
- согласие на совершение операций с личной информацией;
- согласие на распространение ПДн;
- перечень мер информационной защиты;
- приказ о назначении ответственного за безопасность сведений;
- журналы учета и проверки наличия документов, в которых содержатся ПДн.
Обновление правил обработки персональных данных работников: что изменилось в 2021 году
Если вы работодатель, и персональные данные сотрудников приходится обрабатывать регулярно, то нужно постоянно проводить мониторинг законодательной базы. Изменения 2021 года не коснулись основных принципов, в частности, нельзя требовать информацию, которая не нужна для исполнения рабочих обязанностей, в частности, нарушением считается выяснение религиозных и политическим предпочтений, деталей интимной жизни или национальной принадлежности. Также государство оставляет право произвольного составления формы согласия на обработку ПДн, но при этом нужно дополнительно получать документ, разрешающий распространять личные сведения. Специальное согласие позволяет размещать информацию на виртуальных ресурсах, причем отсутствие реакции от субъекта не может интерпретироваться как положительный ответ на запрос о распространении ПДн. Требование распространяется даже на сведения, которые гражданин публикует на открытых онлайн площадках, в частности, в мессенджерах и социальных сетях.
Среди других нововведений следует отметить:
- Вступление в силу ФЗ-248, который определяет новый механизм осуществления инспекционных проверок, а также Постановления Правительства № 1046, где четко прописывается порядок проверочных мероприятий.
- Возможность распространения ПДн без дополнительного согласия только ПФР, правоохранительным и другим государственным органам. Персональные данные работника являются информацией, которая не может передаваться свободно третьим лицам.
- Предоставление субъекту права отказать в разрешении на распространение личных сведений. Одновременно с этим, если законом на работодателя возложены обязательства по сбору и хранению ПДн, то совершать эти операции можно и без согласия.
- Наличие двух способов оформления согласия — при помощи ИС Уполномоченного органа либо в письменном виде с оригиналом подписи физлица.
- Подключение оператора к системе Роскомнадзора для получения информации, необходимой для предусмотренных законом целей обработки без непосредственного взаимодействия с субъектом.
- Требование составлять отдельное согласие для распространения ПДн каждому третьему лицу, то есть нельзя попросить сотрудника заполнить и подписать один документ для разных целей и сразу нескольких вариантов использования конфиденциальных данных.
- Обязательство предприятия остановить обработку персональных данных сотрудников в течение 3 дней после поступления официального заявления с соответствующим требованием от владельца ПДн. При неисполнении данного условия субъект может отправить исковое заявление в судебный орган для защиты своих прав.
- Увеличение в 2 раза штрафов за различные нарушения, включая неполучение согласия и продолжение использования ПДн после поступления заявления с требованием о прекращении обработки.
В созданных государством условиях проще, экономически выгоднее и быстрее адаптировать бизнес-процессы, включая работу кадрового департамента, к новым требованиям, чем платить огромные штрафы и прекращать деятельность на время проверок Роскомнадзора. Если своими силами справиться не удается, на помощь придут наши специалисты.