Un angajator inteligent nu va cere prea multe despre complicațiile de lucru cu datele personale, platforma de conținut

Alexander Mikhaylovich Nikitin, șeful departamentului pentru protecția drepturilor subiecților de date cu caracter personal și supravegherea în domeniul tehnologiilor informaționale ale Oficiului Roskomnadzor pentru regiunea Samara

Informațiile despre angajat sunt necesare pentru fiecare angajator pentru construirea corespunzătoare a relațiilor de muncă. Trebuie să știți foarte mult. De exemplu, dacă angajatul are dreptul la prestații suplimentare și compensații datorate particularităților stării civile sau stării de sănătate.
În același timp, o încălcare a regulilor de prelucrare a datelor cu caracter personal amenință conducerea companiei și resursele umane amenzile departament și alte neplăceri. Pentru informații cu privire la modul de organizare a activității, pentru a evita efectele adverse, vom discuta cu Alexander Mihailovici Nikitin, șeful departamentului pentru protecția drepturilor persoanelor vizate cu caracter personal și supravegherea în domeniul tehnologiilor informaționale Departamentul de Roskomnadzor pentru regiunea Samara.

- Alexander Mikhailovich, care sunt datele personale ale angajatului? Și ce ar trebui să fie înțeleasă prin prelucrarea lor?

Prelucrarea datelor cu caracter personal ale angajaților este reglementată de capitolul 14 din Codul muncii al Federației Ruse. Ea este efectuată de către angajator și reprezentanții săi și include primirea, stocarea, combinarea, transferul sau orice altă utilizare.

Din documentele angajatorului de stabilire a procedurii de prelucrare a datelor cu caracter personal ale angajaților, precum și drepturile și obligațiile lor în acest domeniu, lucrătorii și reprezentanții acestora trebuie să fie instruiți sub semnătură (p. 8 h. 1 Art. 86 din RF LC).

- o listă specifică a datelor cu caracter personal ale angajaților care au dreptul să solicite angajatorului, legea nu este stabilită. Aceasta înseamnă că, în principiu, un angajator poate, după primirea unui consimțământ scris din partea angajatului, să solicite orice informație în orice sumă?

- Lista documentelor pe care angajatorul are dreptul să le solicite de la angajat este stabilită la articolul 65 din Codul Muncii al Federației Ruse. Acestea includ pașaport, istoricul ocupării forței de muncă, certificat de asigurare de asigurare de pensie de stat, documentele de înmatriculare militare, certificat de învățământ, alte documente cerute de legi și regulamente. Toate celelalte informații suplimentare angajatorul are dreptul de a primi în mod direct de la angajat, și dacă există date este posibilă numai pentru a obține de la o terță parte, angajatul trebuie să fie notificat în prealabil și de la acesta trebuie să fie scris consimțământul.

- Totuși, există date personale pe care angajatorul nu le poate primi și le procesa?

- Acestea sunt date despre credințele politice, religioase și alte. Informații privind viața privată a unui angajat pe care angajatorul este abilitat să o primească numai cu consimțământul său scris (articolul 24 din Constituția Federației Ruse, articolul 86 din LC RF). Angajatorul poate primi și procesa informații despre apartenența sa la asociațiile obștești sau la activitățile sale sindicale numai în cazurile prevăzute de legile federale. În conformitate cu articolul 88 din Codul muncii al Federației Ruse, angajatorul nu are dreptul să solicite informații cu privire la starea de sănătate a salariatului, cu excepția informațiilor legate de posibilitatea îndeplinirii funcției sale de muncă.

- Cât ar trebui să fie stocate datele personale ale angajaților?

- Procedura de stocare și folosire a datelor personale ale angajaților este stabilită de angajator (articolul 87 din LC RF). O astfel de ordine poate fi determinată printr-un act de reglementare local al angajatorului, de exemplu printr-o prevedere.

Potrivit articolului 5 din lege. datele cu caracter personal ale persoanelor fizice ar trebui să fie păstrate nu mai mult decât scopul prelucrării lor. Apoi sunt distruse.

- Există o listă de proceduri obligatorii pe care fiecare angajator ar trebui să le efectueze?

- Compunerea și lista de măsuri necesare și suficiente pentru a asigura îndeplinirea atribuțiilor prevăzute de lege. organizația determină singură. Aceste măsuri includ numirea persoanei responsabile pentru organizarea prelucrării datelor cu caracter personal; publicarea actelor locale privind prelucrarea datelor cu caracter personal; cunoașterea (și, dacă este necesar, a instruirii) a lucrătorilor; efectuarea unui audit intern privind prelucrarea datelor cu caracter personal și așa mai departe.

- Ce date personale ale angajatului pot fi transferate fără consimțământul lui?

- Prin reguli generale, dacă organizația angajatoare raportează datele personale ale angajaților, inclusiv managerului, terților, atunci acest lucru necesită consimțământul scris al angajatului. Acest lucru este stabilit prin articolul 88 din Codul Muncii al Federației Ruse.

Excepție sunt cazurile în care este necesar să se prevină o amenințare la adresa vieții și sănătății angajatului, precum și în alte cazuri prevăzute de Codul Muncii al Federației Ruse sau de alte legi federale.

Prin urmare, de exemplu, pentru a obține consimțământul angajatului de a transfera la fondul de pensii de informații cu privire la experiența sa de asigurare nu este necesară. Precum și acordul salariatului nu este necesară pentru transmiterea informațiilor legale despre el în FSS, organele de statistică, autoritățile fiscale.

- Ce document se ghidează de Roskomnadzor atunci când efectuează verificări ale datelor cu caracter personal?

- Câte companii din regiunea Samara au fost testate în ultimul an?

- Și care ar putea fi motivul pentru un audit neprogramat?

- De regulă, primirea în Roskomnadzor a unei plângeri a unui cetățean sau a unei persoane juridice. În conformitate cu articolul 23 alineatul (5) paragraful 2 din lege. suntem obligați să luăm în considerare plângerea și să luăm o decizie corespunzătoare.

- Operatorul va fi informat despre cine exact și în legătură cu ceea ce sa plâns?

- Dacă este necesar pentru identificarea unei persoane, vom indica cine a primit cererea. Dar dacă nu există o astfel de nevoie, informațiile despre persoana care aplică nu sunt transferate.

Motivul reclamației poate fi indicat dacă este necesar să se obțină informații specifice de la operator.

- Da, planul pentru anul curent a fost deja elaborat. Este afișat pe site-ul oficial al Roskomnadzor (www.) Și pe site-ul web al Oficiului Roskomnadzor pentru regiunea Samara ().

- Roskomnadzor va notifica compania despre viitoarea vizită cu un cec?

- Da. Roskomnadzor informează în prealabil compania în scris despre inspecția planificată. Notificarea indică data și durata auditului, precum și justificarea sa juridică.

- Apropo, face Roskomnadzor să efectueze controale comune cu FSB și FSTEC? Dacă da, cum sunt distribuite funcțiile departamentelor?

- Ce încălcări ale legii sunt de obicei detectate în timpul inspecțiilor?

- Cel mai adesea angajatorii permit următoarele încălcări:

Nu există consimțământul scris al angajatului pentru prelucrarea datelor sale cu caracter personal; prelucrarea datelor cu caracter personal ale unui cetățean de către un operator (o terță parte) nu asigură confidențialitatea corespunzătoare; nu a fost trimisă o notificare cu privire la prelucrarea datelor cu caracter personal către Roskomnadzor sau nu au fost furnizate informații la cererea lui Roskomnadzor; Datele personale sunt procesate mai mult timp decât cerințele specifice; un cetățean solicită informații privind prelucrarea datelor sale cu caracter personal și este prezentat în timp util sau nu respectă cerințele stabilite prin lege.

- Care sunt amenințările legate de respectarea regulilor de lucru cu datele personale ale angajaților?

- În conformitate cu articolul 24 din lege. Persoanele vinovate de încălcarea cerințelor legii cu privire la datele cu caracter personal poartă răspundere civilă, penală, administrativă, disciplinară și de altă natură prevăzute de legislația Federației Ruse.

În special, Codul cu privire la contravențiile administrative ale Federației Ruse prevede o serie de sancțiuni. Deci, încălcarea procedurii de colectare, stocare, utilizare sau difuzare a datelor cu caracter personal implică un avertisment sau o amendă pentru cetățeni - de la 300 la 500 de ruble; asupra oficialilor - de la 500 la 1.000 de ruble; privind organizația - de la 5 000 la 10 000 de ruble (articolul 13.11 din Codul de contravenții administrative al Federației Ruse). Pentru neîndeplinirea, pentru depunerea cu întârziere, a informațiilor incomplete sau distorsionate către organele de stat se aplică o amendă de la 100 la 300 de ruble cetățenilor; pe oficiali - de la 300 la 500 de ruble; pe persoane juridice - de la 3 000 la 5 000 de ruble (articolul 19.7 din Codul contravențiilor administrative din Federația Rusă).

Dezvăluirea informațiilor prevede o amendă pentru cetățeni - până la 500-1000 de ruble; pe funcționari - de la 4 000 la 5 000 de ruble (articolul 13.14 din Codul contravențiilor administrative). În unele cazuri, divulgarea datelor cu caracter personal poate conduce la răspunderea penală în temeiul articolului 137 din Codul penal al Federației Ruse. Există deja o chestiune nu numai de sancțiuni mult mai apreciabile, ci și de privarea de dreptul de a fi angajat în anumite activități, atât în ​​ceea ce privește arestarea, cât și despre lucrările corective.

- Spuneți-mi, cum este evaluată prejudiciul estimat, care ar putea fi cauzat sau a fost cauzat angajatului? Este pedeapsa diferită în funcție de gradul de rău?

- prejudiciul cauzat subiectului datelor cu caracter personal ca urmare a activității ilegale a operatorului este evaluat de către instanță. Pentru astăzi în legislația rusă nu există o abordare diferențiată a răspunderii pentru încălcarea legislației privind datele cu caracter personal.

Având în vedere aceste circumstanțe, Roskomnadzor a venit cu o propunere de a crește penalități de până la 500 de mii. Ruble cu diferențiere obligatorie a dimensiunii lor, în funcție de gradul de efecte negative asupra subiectului.

- Să analizăm câteva situații specifice. Atunci când angajează un angajat, prima pagină a pașaportului său este de obicei scanată. Acest lucru necesită consimțământul scris?

- Dacă doriți să obțineți o imagine digitală a unui pașaport cu o fotografie, consimțământul trebuie să fie în scris, deoarece fotografia conține informații despre datele biometrice ale angajatului.

- Companiile trebuie să proceseze datele personale ale solicitanților de locuri de muncă (adică persoanele cu care contractul de muncă nu a fost încă încheiat). Trebuie să informați Roskomnadzor în acest caz?

- Da, este necesar. O listă completă a cazurilor în care notificarea nu este necesară este cuprinsă în subsecțiunea 22 (2) din lege. Prelucrarea datelor cu caracter personal ale solicitanților din această listă nu este menționată direct.

Acest lucru este destul de logic: solicitantul în contextul raporturilor de muncă nu poate fi considerat angajat. reguli speciale, care ar permite să se aplice prelucrării datelor cu caracter personal a normelor solicitanților cu privire la prelucrarea datelor cu caracter personal ale angajaților, legislația nu conține.

- Da, dacă trimiterea unor astfel de scrisori nu este reglementată de legea federală.

- În multe companii este obișnuit să felicităm angajații pentru ziua lor de naștere, pentru căsătoria lor, la nașterea copilului lor. Felicitările sunt, de obicei, afișate pe site-urile web ale corporațiilor sau pe standuri. Este necesar să primiți consimțământul scris din partea angajatului pentru a vă felicita?

- Da, deoarece angajatorul nu poate divulga informații personale unor terțe părți fără acordul scris al salariatului, în cazul în care nu este reglementată de alte legi federale (articolul 88 din Codul muncii.).

- Și aceeași situație, dar nu pentru angajați, ci pentru clienții companiei. Pentru a felicita public o persoană, trebuie să-i cereți consimțământul?

- Compania numește o persoană și este interesată de numele unui specialist sau al altui specialist. Aceasta se referă la transferul de date cu caracter personal? Și invers, dacă numesc numele și întreabă, în ce poziție lucrează persoana specificată?
Cum să te comporți dacă apelantul este reprezentat de un ofițer de poliție, de procuratură etc.?

- Da, vorbim despre transferul de date cu caracter personal. Cu toate acestea, în cazul în care datele cu caracter personal este necesară pentru realizarea justiției, executarea hotărârii, celălalt act organism sau oficialului care urmează să fie executate în conformitate cu legislația de executare (pag. 3 h. 1 al articolului 6 din Legea federală № 152-FL), datele pot fi transferate oficialului corespunzător. Obligația de a prezenta motivele transferului specificate în clauza 6 (1) 3) din prezenta lege federală este atribuită angajatorului.

- Este adevărat că, în timpul inspecției, Roskomnadzor monitorizează comportamentul persoanelor care au acces la datele personale ale angajaților? Și, de exemplu, un computer deschis (contabilul-șef a fost departe de birou pentru câteva minute) poate deveni deja un motiv pentru o amendă?

- Roskomnadzor nu mai urmează acest lucru, dar ideea este interesantă.

- Cumpărătorul completează chestionarul, care indică datele sale personale în voința sa și în interesul său. De fapt, aceasta înseamnă încheierea unui contract. Operatorul are dreptul de a efectua fără o notificare prealabilă a organismului autorizat cu privire la protecția datelor cu caracter personal ale entităților de prelucrare a datelor cu caracter personal, primite în legătură cu încheierea contractului, o parte care face obiectul datelor cu caracter personal, în cazul în care datele cu caracter personal nu sunt supuse, și să nu pună la dispoziția terților fără consimțământul subiectului datelor cu caracter personal și sunt utilizate de către operator numai pentru executarea contractului specificat (clauza 2, partea 2, articolul 22 din Legea federală). Orice organizație din alte motive procesează datele personale ale persoanelor fizice nu numai în cadrul contractului.

- Există o listă de documente care vor fi verificate?

- Da. Este cuprins în paragraful 64 al Regulamentului. Documentele care trebuie să fie în mod necesar în organizație includ:

notificări privind prelucrarea datelor cu caracter personal; consimțământul scris al angajaților și al altor subiecți de date cu caracter personal la prelucrarea informațiilor despre aceștia; documente care confirmă distrugerea de către operator a datelor cu caracter personal ale subiecților de date cu caracter personal la realizarea scopului prelucrării; actele locale ale operatorului, reglementarea procedurii și a condițiilor de prelucrare a datelor cu caracter personal etc.

- În ce cazuri poate angajatorul să o facă fără notificare lui Roskomnadzor?

- dacă angajatorul procesează date cu caracter personal exclusiv în conformitate cu legislația muncii. Dar, după cum arată practica, orice angajator, din motive obiective, depășește acest cadru.

- Pot trimite o notificare privind prelucrarea datelor cu caracter personal prin Internet?

În prezent, procedurile de depunere a unei notificări sunt procesate și printr-un portal unic al serviciilor publice, care utilizează o semnătură electronică.

- Vă mulțumesc pentru explicațiile detaliate.

Articole similare

• Invitație la muncă în Polonia, primită de la angajator, eșantion, preț

• Feedback despre angajator uk kaizen - russia - well-wishers - despre muncă

Trimiteți-le prietenilor: