Главная - Другое - Нужно ли брать согласие на обработку персональных данных с соискателей

Нужно ли брать согласие на обработку персональных данных с соискателей

Роскомнадзор о персональных данных в 2022 г. Часть 2


3 декабря 2022Первую часть доклада Роскомнадзора можно Когда я дописал эту часть, то увидел, что получилось очень много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию. Пока же считает, что можно указать несколько целей в одном согласии только в некоторых случаях.

Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных. Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель. Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных. Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы. Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы.

Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие. Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников.В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.Сканы письменных форм согласий на обработку делать не запрещено.

Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств.

Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора. Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных необходимо получать письменное согласие (ч.

4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т.

д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные.

В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения.

Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных. Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета.

В этом случае согласие составлено корректно. Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору. Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к.

обработка ПД доверенного лица осуществляется в рамках договора.К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст.

19.5 КоАП РФ.В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных.

Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст.

22 Закона № 152-ФЗ. Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.

Контемиров пообещал, что по результатам работы Центров компетенций в 2022 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными.

РКН хочет, чтобы такой портфель был хорошим подспорьем. Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в , и , чтобы делать это вместе. Кстати, в Телеграм есть , в котором можно спрашивать меня по теме информационного и медиаправа, оставлять обратную связь и давать дельные советы.

Чатик придумал, чтобы , но быть с вами на связи.Источник в моем блоге

Особенности работы с персональными данными в кадровом агентстве

Вы здесь Опубликовано 2012-10-11 07:55 пользователем Valeratal «Кадровик.

Рекрутинг для кадровика», 2012, N 12 ОСОБЕННОСТИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В КАДРОВОМ АГЕНТСТВЕ Каждое кадровое, рекрутинговое агентство является оператором персональных данных лиц, ищущих работу. Какие проблемы возникают в связи с этим, как грамотно организовать работу по сбору и проверке сведений о кандидате, рассказывается в статье.
Какие проблемы возникают в связи с этим, как грамотно организовать работу по сбору и проверке сведений о кандидате, рассказывается в статье.

«Место жительства. семейное положение. условия проживания. наличие собственного автомобиля.

Что еще хотят обо мне узнать?» — размышляет иной соискатель вакантной должности, заполняя бесконечно длинную анкету в рекрутинговом агентстве.

Обилие вопросов и детализация ответов нередко вызывают закономерное возмущение будущего работника. Но еще большее удивление гражданина вызывает «приписка» в самом конце анкеты, в которой его просят дать согласие на перепроверку всего того, о чем он в течение получаса старательно писал.

И вот результат: сотрудник еще не успел освоиться на новой работе и познакомиться с коллегами, а они уже знают о нем все: семейное положение, домашний адрес, телефон, состояние здоровья, жилищные условия и многое другое. Новичок удивлен: как стало об этом известно всем окружающим, ведь он ни с кем не делился информацией? Наверное, он просто позабыл, что о многом успел рассказать в своем резюме и анкете при трудоустройстве.

А перипетии личной жизни озвучил во время «интервью» с рекрутером кадрового агентства и менеджером по персоналу. Так что объяснение столь быстрому распространению информации может быть только одно: это работники отдела кадров «постарались», чтобы о новом члене коллектива все окружающие узнали как можно быстрее и больше. Причем в большинстве случаев кадровик даже и не подозревает о том, что, сообщая другим сведения о чьей-то личной и семейной жизни, он тем самым грубо нарушает закон и может понести за это серьезную ответственность.

В целом в действующем законодательстве упоминается несколько десятков видов «тайн», часть из которых напрямую касаются граждан, связаны с их правами и законными интересами, а потому подлежат защите: тайна усыновления (ст. 155 УК РФ, ст. 139 Семейного кодекса РФ), тайна частной жизни (ст. 137 УК РФ, ст. 150 ГК РФ), личная тайна (ст.

137 УК РФ, ст. 150 ГК РФ), семейная тайна (ст. 137 УК РФ) и др. О чем же работник обязан сказать рекрутеру, а о чем можно и промолчать? Надо признать, что именно в сфере рекрутинга проблема защиты персональных данных стоит достаточно остро.

И одна из проблем связана с самим понятием персональных данных. Сбор сведений о кандидате Если ориентироваться на определение персональных данных, содержащееся в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ), то оно звучит так (ст. 3): персональные данные — любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных).

Заметьте, как широко указанный Закон трактует данное понятие — любая информация. Как это надо понимать? Вот конкретный пример.

Нередко работодатели-заказчики в заявке на подбор персонала указывают пожелания к личности соискателя, весьма далекие от деловых качеств, такие как: рост, телосложение, другие особенности внешности.

И вот уже рекрутеры в анкеты включают дополнительные графы: размер одежды, рост, вес и т. д. Относятся эти сведения к персональным данным?

В том понимании, которое вкладывает в понятие «персональные данные» законодатель, да. Ведь это информация, относящаяся напрямую к конкретному гражданину.

Таким образом, ошибочно думать, что персональные данные гражданина составляют только его фамилия, имя, отчество, место жительства и паспортные данные.

Рекрутерам можно посоветовать серьезно продумать вопрос о том, что следует относить к персональным данным будущего работника, составить наиболее полный перечень сведений.

Ведь рекрутинговое агентство с точки зрения Закона является оператором.

Словарь рекрутинга. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

И если персональные данные — это, по сути, любая информация о человеке, то и обработка персональных данных — это любое действие (операция) или совокупность действий (операций) с персональными данными.

В процедуре получения информации о работнике можно выделить по крайней мере три этапа: 1.

Сбор информации о кандидате на вакантную должность. 2. Сбор информации о гражданине для оформления трудовых отношений.

3. Сбор информации о работнике в процессе его трудовой деятельности у данного работодателя.

Как показывает практика, наибольшая часть информации о гражданине, находящемся в поисках работы, собирается на первых двух этапах. И это объяснимо: потенциальный работодатель желает получить о «незнакомом» лице максимально возможную информацию. Остановимся подробней на 1-м этапе, когда персональные данные получают рекрутеры.

Прежде всего, рекрутинговые агентства должны уяснить для себя, для каких целей они собирают информацию о гражданах, обратившихся к ним. Казалось бы, ответ лежит на поверхности: для их передачи потенциальному работодателю.

Но только ли для этого? А как же, скажем, всевозможные «перепроверки»? А опросы и тесты? Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Если поставлена цель — трудоустройство гражданина на заявленную им в анкете вакансию повара, то с какой целью рекрутер интересуется цветом его глаз и знаком зодиака, под которым он родился?

Зачем собирать сведения о месте жительства российского гражданина, если закон запрещает отказывать по критерию «есть/нет московской прописки» в приеме на работу (ст.

64 ТК РФ)? Подчас содержание анкет рекрутеров в точности копирует личную карточку работника и личный листок по учету кадров. При этом рекрутеры затрудняются объяснить, какую реакцию может вызвать у соискателя требование описать свою деятельность в партизанском отряде (!) и сообщить цель поездок за границу. Здесь мы переходим к следующему важному вопросу.

Закон требует определить круг лиц, имеющих доступ к персональным данным. Полагаем, что поскольку практически все сотрудники рекрутинговых агентств хотя бы читают резюме и анкеты соискателей, а большинство из них еще и накапливают, уточняют, извлекают информацию в ходе собеседований и опросов, то все они должны быть отнесены к числу лиц, имеющих доступ к персональным данным граждан. Факт принятия сотрудником рекрутингового агентства обязательств по сохранению в тайне персональных данных соискателей специально оговаривается в заключенном с ним трудовом договоре (ч.

4 ст. 57 ТК РФ), а также в знакомстве с соответствующими нормативными актами организации при приеме на работу (ч. 3 ст. 68 ТК РФ). Соблюдение описанных выше процедур допуска к конфиденциальным сведениям позволит привлечь к ответственности нарушителя. Противоправное поведение выражается в действиях рекрутеров, нарушающих установленные правила работы с персональными данными.

В отношении виновного работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст.

192 ТК РФ: замечание, выговор, увольнение. Более того, Кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (пп. «в» п. 6 ч. 1 ст. 81). Согласие кандидата на обработку его персональных данных Согласно ст.

«в» п. 6 ч. 1 ст. 81). Согласие кандидата на обработку его персональных данных Согласно ст. 9 Закона N 152-ФЗ субъект персональных данных (в нашем случае — гражданин, ищущий работу) согласие о предоставлении своих персональных данных и их обработке дает добровольно, своей волей и в своем интересе, без какого бы ни было «нажима», «намека» со стороны рекрутера. Закон не случайно подчеркивает, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

То есть гражданин должен не просто поставить свою подпись в нужной графе анкеты, а понимать цели обработки информации о себе, иметь представление о составе обрабатываемых сведений и т. д. Невозможно говорить о том, что отсутствие подписи обусловлено устными договоренностями, нехваткой времени и т. д. Ведь законодатель однозначно требует наличия документально подтвержденной подписи субъекта персональных данных.

Многих радует тот факт, что согласие на обработку персональных данных можно получать в электронной форме. Действительно, как оперативно можно обменяться письмами по электронной почте! Однако есть одно «но»: Закон требует, чтобы в этом электронном документе стояла электронная подпись.

Поскольку Закон N 152-ФЗ не устанавливает конкретной формы дачи согласия на обработку персональных данных лицом, то допускается включить отдельным блоком этот вопрос в анкету, передаваемую рекрутером. Если же гражданин представил рекрутинговому агентству только свое резюме или другие презентационные материалы о себе (портфолио и др.), то его письменное согласие на обработку персональных данных целесообразно получить в форме самостоятельного документа. Проверьте, чтобы документ о согласии (в какой бы форме он ни представлялся) содержал следующую обязательную информацию: — фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; — фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); — наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; — цель обработки персональных данных; — перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; — наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; — перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; — срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; — подпись субъекта персональных данных.

Имейте в виду, что буквально в тот же день после дачи своего согласия на обработку персональных данных гражданин может передумать и отозвать свое согласие. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе N 152-ФЗ (п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст.

10 и ч. 2 ст. 11). Статья 10 Закона N 152-ФЗ данных выделяет такую категорию, как специальные категории персональных данных. К ним относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Обработка таких сведений по общему правилу не допускается. То есть, если рекрутер включает в анкету или опросник подобные вопросы, он обязан получить на обработку этой особой категории персональных данных отдельное согласие соискателя вакантной должности. Так что при беседе с соискателем следует задавать более корректные вопросы о семейных отношениях и участии в общественной жизни страны.

Так что при беседе с соискателем следует задавать более корректные вопросы о семейных отношениях и участии в общественной жизни страны. Соискатель после собеседования обнаружил, что неверно указал какую-то информацию в резюме и (или) анкете? Например, неверно указал наименование учебного заведения, которое закончил, или телефон предыдущего работодателя?

Рекрутер должен иметь в виду, что субъект персональных данных вправе требовать от оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными. Соответственно, рекрутер обязан внести необходимые коррективы.

Возьмем другой аспект обработки персональных данных. «Знаете, к нам пришло резюме вашего бывшего коллеги из фирмы N.

— восклицает рекрутер, демонстрируя «безработному» чьи-то анкетные данные.

— Как Вы можете охарактеризовать его? Что он за человек?» Казалось бы, безобидный вопрос, но он самым тесным образом связан с нарушением законодательства о персональных данных.

Ведь не допускается предоставлять гражданину персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Рекрутера не должен удивлять вопрос клиента кадрового агентства о том, кто еще будет знакомиться с его анкетой, ведь субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором либо на основании федерального закона. Равным образом соискатель вакантной должности вправе поинтересоваться сроками обработки персональных данных, в том числе сроками их хранения.

Проверка сведений Подошло время поговорить о «перепроверках» тех данных, которые соискатели указали в анкете и (или) резюме.

Согласно ст. 18 Закона N 152-ФЗ если персональные данные получены не от субъекта персональных данных, оператор по общему правилу до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные законом права субъекта персональных данных; 5) источник получения персональных данных. Рекрутинговое агентство освобождается от обязанности предоставить гражданину вышеперечисленные сведения, в частности, в случаях, если: — субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором; — персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника.

По общему правилу все персональные данные следует получать у самого гражданина.

Однако в условиях приема на работу некоторые сведения могут быть получены не только от самого работника, но и от третьих лиц, например бывших работодателей.

Такой способ получения информации будет считаться правомерным, если будут соблюдены условия его получения. При определении объема и содержания получаемой и обрабатываемой информации рекрутеры должны руководствоваться Конституцией РФ, которая гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение данных о частной жизни лица без его согласия не допускаются.

Вопрос о неприкосновенности частной жизни лица заслуживает отдельного внимания. Тайну частной жизни составляют сведения о конкретном человеке, не связанные с его профессиональной или общественной деятельностью и дающие оценку его характеру, здоровью, материальному состоянию, семейному положению, образу жизни, отдельным фактам биографии и др.

Право на неприкосновенность частной жизни означает возможность данному лицу самостоятельно решать все вопросы частной жизни и запрет вмешательства третьих лиц, кроме случаев, прямо предусмотренных в Законе.

Нередки случаи, когда рекрутеры и потенциальные работодатели при отсутствии согласия гражданина наводят справки о его месте жительства, проверяют паспортные данные, факты привлечения к уголовной ответственности и т. д. Такая серьезная проверка не может быть осуществлена «по умолчанию». Гражданину должны сообщить, по каким каналам собираются проводить проверку и какие сведения о нем хотят уточнить.

Ведь даже у самого честного гражданина подобная проверка вызывает внутреннее неприятие. Думается, что работодатель должен ограничить проведение таких мероприятий и принимать решение о необходимости их использования только в отношении тех работников, чьи персональные данные вызывают обоснованные подозрения в их искажении. Излюбленный кадровиками способ проверки информации — обращение к бывшему работодателю.

Но отказ в сообщении сведений о бывшем работнике не должен вызвать недоумение, ведь чаще всего рекрутеры нарушают процедуру обращения за такого рода сведениями. Например, о телефонном звонке в отдел кадров по прежнему месту работы не знает соискатель вакантной должности. Будьте готовы услышать от одних кадровиков ответ, что информация об уволенных сотрудниках, их трудовом усердии, дисциплинированности и др.

причислена уже к разряду коммерческой тайны!

Другие потребуют письменного запроса или выполнения других процедур, сославшись на то, что именно такой порядок передачи персональных данных внешним пользователем предусмотрен их локальными нормативными актами.

Но все-таки большую часть сведений рекрутер почерпнет из документов, предъявляемых гражданином при приеме на работу, которые подавляющее большинство соискателей приносят на собеседование.

Их перечень приводится в ст. 65 ТК РФ. Требование в обязательном представлении этих документов имеет определенную цель: они позволяют идентифицировать личность работника: содержат паспортные данные лица, сведения о гражданстве; информацию о предыдущей трудовой деятельности, сведения о воинском учете и др. Важно: гражданин, поступающий на работу, несет ответственность за достоверность представленной информации.

Если будет установлено, что работник при заключении трудового договора представил подложные документы или заведомо ложные сведения, это дает работодателю право уволить такого работника (п. 11 ч. 1 ст. 81 ТК РФ). Нужно ли рекрутинговому агентству создавать локальные нормативные акты о порядке обработки персональных данных?

Ответ на этот вопрос мы находим в ст.

18.1 Закона N 152-ФЗ. Оператор обязан создать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Библиографический список 1. Бычков А.

Защита персональных данных // Современный предприниматель. 2011. N 12. 2. Персональные данные кандидатов: хранить, нельзя уничтожить // Кадровик. Рекрутинг для кадровика. 2011.

N 12. Л. Французова Юрист по трудовому праву ООО «Кадровый Холдинг «Бета Пресс» Подписано в печать 12.11.2012 Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Защита персональных данных при приеме на работу: о чем нужно помнить кадровику

Самая обыденная процедура приема на работу сопряжена с риском для работодателя.

И дело вовсе не в том, что работник относится к какой-либо «особой» категории, что нужно ознакомить его ДО начала работы с локальными нормативными актами компании, грамотно прописать условия трудового договора и т.д.

Опасность подстерегает нас уже на этапе: «Предъявите ваши документы для оформления приема!». Работник передает стопку документов, мы делаем копии и.

И дальше все будет зависеть от грамотных действий кадрового работника.

Еще с 1 июля 2017 года законодательством была существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц: штрафы выросли на несколько порядков — до 75 тысяч рублей за каждое нарушение, привлечение к ответственности стало гораздо проще. Тем не менее, как показывает практика, работодатели до сих пор «расслабленны» и угрозы не замечают. А ведь уже сложилась судебная практика по делам о незаконном хранении работодателями копий документов работников, в том числе копий страниц паспорта, военного билета, свидетельств о рождении детей и т.д.

Рекомендуем прочесть:  Прожиточный минимум 2022 г бирск

Например, решения Арбитражного суда Ростовской области от 14.11.2013 г. №А53-12557/2013, от 30.07.2013 г. по делу № А53-10287/2013. Суды признали сбор данной информации избыточным!

Давайте разберемся, что конкретно нужно сделать работодателю для собственной безопасности:

  • Проверить, каждый ли работник при приеме на работу подписал Согласие на сбор, хранение и обработку его персональных данных, ознакомился с Положением о защите персональных данных (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
  • Назначить приказом ответственного за работу с персональными данными (пп.1 ч.1 ст.18.1, ч.1 ст.22.1 Закона № 152-ФЗ «О персональных данных», ч. 5 ст. 88 ТК РФ). Как правило, это кадровик, бухгалтер либо непосредственно руководитель компании.
  • Утвердить перечень работников, которые обрабатывают персональные данные, и получить у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.
  • Исключить из состава кадровых документов те копии, которые уже достигли цели своей обработки либо срок хранения которых истек (п. 7 ст. 5 Закона № 152-ФЗ).

Обратите внимание, копии документов нельзя просто выкинуть! И даже сначала порвать, а потом выкинуть тоже нельзя, не говоря уже об их использовании в качестве черновиков. Для таких документов требуется издать приказ о создании специальной комиссии, которая будет проводить выборку документов для утилизации.

И все это требуется подтвердить еще и Актом об уничтожении. Подводя итог, небольшой совет: оформляйте отношения с работниками в строгом соответствии с требованиями трудового законодательства и регулярно наводите порядок в кадровых документах. При любых сомнениях в правомерности своих действий обращайтесь к нормативным документам.

А лишние копии лучше все же не хранить.

Если уж вам понадобится уточнить какую-либо информацию, попросите работника предъявить оригинал документа. «» : Теги:

  1. , руководитель Практики трудовых отношений ООО Консалтинговая компания

6825 9750 ₽ –30%

  1. © 2001 — 2022, Клерк.Ру.

18+

5 базовых принципов закона о персональных данных, о которых нужно знать

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

Игорь Луканин 27 октября 2014 Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных».

Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

Под персональными данными, как следует из ст.

3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений.

Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров. Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются.

К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда.

Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки. Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов.

В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование.

И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью.

В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст.

11 №152-ФЗ). К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие). Отдельно закон говорит о передаче данных за границу (ст.

12 №152- ФЗ). С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ): Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например,

«Политики в отношении обработки персональных данных»

, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

Эти меры связаны с деятельностью компании. Закон требует, чтобы

«Политика в отношении обработки персональных данных»

была доступна для всех категорий субъектов персональных данных.

Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам.

О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ. Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

  • Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.
  • Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  • Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  • Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний.

Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер.

Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны. Игорь Луканин, руководитель продукта «» Подписаться × ИВ Ирина Воронкова Добрый день!Перечитав тонны информации в интернете пришла к выводу что нужны 2 документа: 1. Политика в отношении обработки ПД (в футере можно ссылку на нее дать) и 2.

Согласие на обработку персональных данных. Ссылку на него нужно дать из формы обратной связи.Верно ли я поняла по 2 документу?

Можно ли обойтись на сайте без согласия, только Политикой в футере?

0 Ответить Игорь Луканин Добрый день! В законе «О персональных данных» нет точного списка документов, которые вам нужно подготовить, выполняя его требования.

Политика в отношении обработки данных и согласие на обработку данных — самые известные документы. Неудивительно, что вы их нашли.

Если вы собираете персональные данные через сайт в интернете, вам точно стоит их подготовить.Однако при проверке Роскомнадзор может попросить у вас и другие документы. Подробнее читайте в этих статьях: и . 0 Ответить ДП Дмитрий Пашков , сервис 152.контур.ру уже закрыли?

Как давно? 0 Ответить ИВ Ирина Воронкова Спасибо!Еще один вопрос.Сервис позволяет подготовить документы, в т.ч. Политику в отношении обработки ПД. Но «Согласия на обработку персональных данных» посетителей сайта нет в списке документов, верно?

Или я что-то пропустила и этот документ имеется?

0 Ответить Игорь Луканин Обратите внимание на п.

37 вот на этой странице: 0 Ответить ИВ Ирина Воронкова Да, у нас эта форма сформирована для сотрудников, как приложение к трудовому договору. А если говорить о сборе заявок с сайта, где пользователь указывает имя, тел, то такая форма-Согласие не сформировалась.

Или мы что-то упустили при формировании?

0 Ответить АД Алиев Дмитрий Добрый день. Работаю гражданским в воинской части.

Все необходимые данные предоставлял в отдел кадров. Имеет ли право мой непосредственный начальник (да и вообще входит ли это в круг его обязанностей) требовать от меня следующие данные: вероисповедание, когда получал загранпаспорт, когда был за пределами России (за всю мою жизнь), мою электронную почту, когда женился, сведения о ближайших родственниках и т.д.?

Обсуждения
Громкая музыка днем у соседей что делать

Оглавление:Что делать, если соседи шумят днемЧто делать, если...

Комментариев  0
Як відновити сторінку вконтакті

Оглавление:Восстановление страницы ВКонтакте после взлома,...

Комментариев  0
Куда подавать на алименты если прописана в пензенской области

Оглавление:Алименты как взыскать в селе Бессоновка в 2022 годуКак...

Комментариев  0

Консультация юриста

Информация

top