С понятием «персональные данные» столкнулись в далеком теперь уже 2006 году. Тем не менее, до сих пор остались вопросы, что конкретно к ним относится, как их обрабатывать, чтобы ненароком не «разгласить», а главное, как избежать ответственности за разглашение.
Регулируются правила сбора и обработки персональных данных Федеральным законом от 27.07.2006 г. Последние изменения в него были внесены 29 июля 2017 года. Данным законом устанавливаются правила сбора и хранения данных в целом. Мы же рассмотрим персональные данные под углом отношений «работодатель — наемный работник».
Что относится к категории персональных данных
Как только организация подписывает трудовой договор с работником, сразу же возникает необходимость сбора данных о работнике. Итак, перечислим, что же к ним относится:
-
фамилия, имя, отчество;
-
дата и место рождения;
-
адрес места жительства;
-
семейное положение;
-
сведения об образовании;
-
ИНН;
-
паспортные данные;
-
СНИЛС;
-
номер медицинского полиса;
-
сведения о доходах;
-
банковские реквизиты работника;
-
номер телефона.
Проще говоря, любые данные, которые могут помочь идентифицировать человека. Например, зная СНИЛС, ИНН или паспортные данные – можно выяснить информацию о человеке, причем весьма подробную. Более того, зная номер телефона и фамилию, имя и отчество – также возможно узнать много информации. По номеру телефона – паспортные данные, они указаны в договоре с телефонной компанией, а по паспорту – место жительства и семейное положение. Известны случаи в судебной практике, когда специалиста отдела кадров привлекли к ответственности за то, что в праздном разговоре женщина обмолвилась, что новый сотрудник холост.
Все эти данные собираются работодателем при оформлении личного дела нанимаемого сотрудника. Они необходимы для того чтобы отчитываться в налоговую инспекцию, фонд социального страхования, и пенсионный фонд РФ, а также для того чтобы перечислять заработную плату.
Какие документы необходимо оформить перед началом обработки данных
Перед началом сбора данных, работодатель подписывает с будущим работником согласие на сбор, обработку и передачу его персональных данных. В соглашении обязательно указать:
-
данные организации-работодателя;
-
должность, фамилию, имя и отчество сотрудника, ответственного за работу с персональными данными;
-
цель сбора данных;
-
перечень лиц, организаций и инстанций, кому планируется передачи данных сотрудника;
-
информирование о наличии права у физического лица письменно отозвать согласие на обработку персональных данных.
Только при наличии такого согласия можно принимать персональные данные.
Согласие оформляется только в письменной форме. Рекомендуется проговорить все пункты соглашения вслух, удостовериться, что работник понял каждый пункт. В случае спорных вопросов и судебных разбирательств, кадровый работник или иное лицо, ответственное за обработку данных наиболее незащищенный, так как довольно трудно доказать, факт получения согласия. Таким образом лучше перестраховаться.
Можно включить дополнительно в трудовой договор условия обработки персональных данных. Есть понятие «специальных персональных данных». К ним относится расовая и национальная принадлежность, религиозные и политические взгляды, состояние здоровья. С подобными данными, если они поступают в распоряжение работодателя, необходимо обращаться особенно щепетильно. Не следует допускать хранения и тем более передачи третьим лицам подобных сведений без наличия письменного согласия.
Требования к обработке персональных данных
Храниться личные дела и другие носители конфиденциальных данных должны только в сейфе в недоступном для третьих лиц месте. Нельзя оставлять незапертый сейф без присмотра.
Под обработкой персональных данных понимается:
-
начисление заработной платы;
-
формирование отчетности (индивидуальные сведения в налоговую о страховых взносах, к примеру);
-
передача отчетности.
Все эти действия должны производиться только в специальных лицензированных программах. Передача отчетности содержащих эту информацию должна происходить посредством защищенных интернет соединений с использований электронной подписи. Сформированная отчетность передается только посредством лицензированных программ через аккредитованных операторов.
Ответственность за разглашение персональных данных
Законодательно установлена возможность как гражданской, административной, дисциплинарной, так и уголовной ответственности. На практике, к счастью, пока никого не «посадили». Тем не менее, раз законом предусмотрено, значит, имеет место быть и относится к сохранности данных нужно серьезно.
Административная ответственность в настоящее время подразумевает наложение штрафа от 500 до 1 000 рублей на должностное лицо и от 5 000 до 10 000 рублей на юридическое.
В настоящее время на рассмотрении находится поправка к закону о персональных данных. Роспотребнадзор планирует штрафовать тех, кто будет принуждать покупателей сообщать персональные данные. Если будет установлен подобный факт, особенно если мотивом сбора данных будет угроза отказа заключить договор, юридическое лицо рискует заплатить штраф в размере от 10 000 до 20 000 рублей. На должностное лицо, допустившее принуждение сообщить персональные данные штраф будет возлагаться от 1 000 до 3 000 рублей. Исключение составляют лишь те случаи, когда данные необходимы для исполнения обязательств по договору.
Если законопроект будет принят, наказывать будут за нарушения, совершенные с 1 июля текущего года.