Работодатель – оператор персональных данных
Защита и обработка персональных данных регулируется Федеральным законом <О персональных данных> от 27.07.2006 N 152-ФЗ.
Персональные данные работника – любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и др. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).
Персональные данные люди передают многим юридическим лицам (например, банкам, магазинам или салонам красоты).
Работодатель также признается оператором персональных данных. Однако уведомлять об их обработке Роскомнадзор не надо, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ). Вместе с этим, на работодателе лежит ответственность за корректную организацию системы обработки и защиты персональных данных своих сотрудников.
Работодателю можно получать от сотрудников только те персональные данные, которые позволяет обрабатывать закон (ч. 1 ст. 86 ТК). Например, Ф. И. О., дату рождения и адрес можете запрашивать у любого сотрудника. Поскольку без этой информации не сможете принять его на работу. Если по должности обязательно образование, можете обрабатывать данные диплома или аттестата сотрудника. А если для работы нужен медосмотр, сможете также запросить информацию о состоянии его здоровья (ст. 213 ТК).
Полный список документов с видами персональных данных, которые они содержат, смотрите в таблице.
Положение о защите персональных данных в 2022 году
Чтобы учесть все новшества законодательства о персональных данных в 2022 году в положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ).
Приведем образец приказа об утверждении положения о защите персональных данных в 2022 году. Образец самого положения, актуальный в 2022 году, вы можете скачать в конце этой статьи.
Приказ о назначении ответственного за перс.данные
Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении. Приведем примеры этих документов.
Обязательство о неразглашении перс.данных
Если человек (работник организации) имеет доступ к персональным данным работников, то с него нужно взять обязательство о неразглашении этих сведений. Приведем пример обязательства о неразглашении персональных данных сотрудников:
Согласие работника на обработку перс.данных
При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.
Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ). Подробнее об оформлении согласия вы можете прочитать в отдельной статье “Каким должно быть согласие на обработку персональных данных“. В этой же статье вы посмотреть образец согласия, актуальный в 2022 году.
Последние новшества в части оформления согласия на обработку персональных данных произошли с 1 сентября 2021 года. Мы подробно рассматривали это в материале: “Каким должно быть согласие на обработку персональных данных с 01.09.2021: требования“.
Согласие на передачу персональных данных
Имейте в виду, что персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ).
Штраф за передачу персональных данных без согласия работника для организации – от 30 000 до 150 000 руб., для должностного лица – от 20 000 до 40 000 руб. (ст. 13.11 КоАП РФ).