Бизнесу бывают нужны сведения о клиентах и сотрудниках. Рассказываем, как собирать такую информацию и работать с ней, чтобы избежать судебных разбирательств и штрафов
Содержание
Какие данные считаются персональными
Какие есть виды персональных данных
Штрафы за ошибки в работе с персональными данными
Кому нужно регистрироваться в Роскомнадзоре
Когда работодатель вправе собирать персональные данные
Как разработать форму согласия на обработку персональных данных
Платформа знаний и сервисов для бизнеса
Деловая среда Премиум
Вступайте в закрытый клуб и получите доступ к материалам по старту и развитию бизнеса
Попробовать бесплатно на 14 дней
Текст обновлен 1 сентября 2022 года с учетом изменений в законодательстве.
Все действия с личными сведениями граждан регулируются федеральным законом «О персональных данных» № 152-ФЗ. В отношении работодателя дополнительно применяется глава 14 Трудового кодекса.
❗️ Внимание
Роскомнадзор пристально изучает документы работодателя, относящиеся к персональным данным наемных работников. Проверяет их наличие, правильность заполнения и хранения. Штраф за нарушения может достичь 6 млн рублей.
Какие данные считаются персональными
Персональные данные — сведения о человеке, позволяющие напрямую или косвенно идентифицировать его как конкретную личность. Потеря, хищение или распространение этой информации может нанести человеку ущерб. Закон оберегает граждан от несанкционированного использования сведений о них.
Согласно 152-ФЗ, подобными данными считаются:
имя, отчество, фамилия;
число, месяц, год рождения;
место рождения, проживания, регистрации;
национальность, раса, вероисповедание;
состояние физического и психического здоровья;
номера мобильного и домашнего телефонов;
сведения о семейном положении и обо всех родственниках, включая родителей, детей;
паспортные данные;
реквизиты СНИЛС;
информация из документов об образовании;
информация из документов, относящихся к трудоустройству, например о стаже, зарплате;
информация о судимостях, привлечении к административной, материальной ответственности или отсутствии таковых;
все фото и видео, позволяющие установить личность человека;
логин электронной почты;
логины и ники аккаунтов в социальных сетях;
биометрические данные.
Кроме того, к персональным данным относятся результаты тестирования личностных качеств и ассессмента, сведения о политических взглядах, философских убеждениях и жизненных ценностях. Факт пересечения человеком границы также считается конфиденциальной личной информацией.
Некоторые данные из списка выше считаются персональными только в сочетании с другими.
💼 Пример
Адрес электронной почты, где логин до знака @ — набор случайных символов вроде upuf003glncuy4, не персональные данные, поскольку не позволяет узнать что-либо о владельце. А вот адрес с логином IvanovPetr010190_89012345678 относится к персональным данным, так как по такой почте можно определить владельца.
Какие есть виды персональных данных
Разновидности личных сведений рассмотрены в постановлении правительства № 1119:
общедоступные — информация, на доступ к которой получено согласие ее владельца;
специальные — сведения, касающиеся расы человека, его национальности, религиозной принадлежности, сексуальной ориентации, личной жизни, включая судимости, философские и политические убеждения;
биометрические — информация, связанная с генетическими индивидуальными особенностями: голос, отпечатки пальца, ДНК, радужная оболочка;
иные — другие сведения, не попадающие в одну из вышеперечисленных категорий, например email, место проживания, трудовой стаж.
В работе с личными сведениями принимают участие:
субъект — владелец, хозяин данных;
оператор — лицо, организация или предприятие, которое занимается обработкой персональных данных субъекта.
Оператором может быть не только наймодатель, но любое лицо, в том случае, если оно занимается обработкой персональных сведений других людей вне личных и семейных нужд.
💼 Примеры:
• человек хранит в телефонной книге номера друзей — он не оператор;
• вебмастер собирает на своем сайте электронные адреса посетителей для рассылки — он является оператором;
• бизнесмен — ИП, самозанятый, не нанимает никого на работу, однако занимается продажами и собирает контакты покупателей для доставки товаров — он оператор.
Обработка персональных данных — это комплекс действий, например получение, классификация, ликвидация, с индивидуальной информацией, обозначенной в законе как персональные данные.
Обработка может быть:
автоматизированной — проводится с помощью информационных технологий;
неавтоматизированной — выполняется без применения техники;
смешанного типа — данные обрабатывают вручную, а затем используют те или иные программы, например переносят информацию в 1С с письменных документов.
❗️ Внимание
Персональные данные должны храниться в архиве так, чтобы их можно было найти, уничтожить или предоставить субъекту или госорганам — Роскомнадзору, ФСБ, прокуратуре — по требованию. Уничтожать сведения нужно так, чтобы информацией не могли воспользоваться злоумышленники.
Сервис по регистрации бизнеса от Деловой среды
Мечтаете о своем бизнесе? Зарегистрируйте ИП или ООО удаленно и бесплатно
Подать заявку онлайн
Штрафы за ошибки в работе с персональными данными
За ошибки при обработке личных сведений предусмотрены штрафы, согласно статье 13.11 Кодекса об административных правонарушениях. Подробности — в таблице.
| Вид нарушения | Для граждан, руб. | Для должностных лиц, руб. | Для организаций, руб. |
| Обработка, не соответствующая целям | до 6000 | до 30 000 | до 100 000 |
| Обработка без письменного согласия субъекта | до 10 000 | до 40 000 | до 150 000 |
| Отсутствие у оператора опубликованного документа о политике работы с персональными данными или отсутствие доступа к этому документу | до 3 000 | до 12 000 | до 60 000 |
| Субъекту не предоставлена информация по обработке его персональных данных | до 4 000 | до 12 000 | до 80 000 |
| Хранение данных граждан России на серверах, расположенных за рубежом | до 50 000 | до 200 000 | до 6 000 000 |
Чтобы не допустить штрафов, следует:
Зарегистрироваться в Роскомнадзоре как оператор.
Оформить письменные согласия на обработку персональных данных с теми людьми, данные которых планируется подвергать обработке.
Не собирать и не хранить излишнюю нецелевую информацию.
По первому обращению или заявлению субъекта своевременно делать с его персональными данными то, что он попросит. Например, уничтожать, менять.
Сохранять конфиденциальную информацию в соответствии с порядками и сроками, обозначенными в законе.
Гарантировать безопасность персональных данных, передавать их только уполномоченным третьим лицам, например представителям проверяющих инстанций.
Роскомнадзор может узнать о нарушениях в работе с данными по результатам плановой или внеплановой проверки и оштрафовать. Иногда это делают после чьей-либо жалобы.
Telegram Деловой среды
Больше пользы для вас и вашего бизнеса каждый день в нашем Telegram-канале
Подписаться на Telegram
Кому нужно регистрироваться в Роскомнадзоре
Регистрация юридических и физических лиц в качестве оператора является обязательной.
Чтобы ее пройти, нужно подать извещение о том, что компания — оператор. По закону уведомление следует отправлять до начала работы с данными. Форму уведомления устанавливает Роскомнадзор, ее можно заполнить и отправить через портал персональных данных.
С 1 сентября 2022 произошли изменения, касающиеся случаев, в которых компаниям нужно уведомлять Роскомнадзор (законы от 14.07.2022 № 266-ФЗ; 28.05.2022 № 145-ФЗ; 01.05.2022 № 135-ФЗ).
Теперь предприятия обязаны подавать уведомление, когда намереваются обрабатывать персональные данные:
своих сотрудников, в том числе тех, с кем заключены договоры ГПХ;
своих клиентов, когда данные нужны для заключения и исполнения договоров, дополнительных соглашений;
физлиц, которые разрешили использовать свои персональные данные, в том числе те, кто передал только ФИО для подготовки одноразового пропуска на территорию.
Уведомление должно содержать категорию данных, их субъектов, правовое основание обработки, перечень действий, способы обработки. Если у оператора есть доступ к персональным данным, которые находятся в государственных или муниципальных информационных системах, либо он обрабатывает данные из этих систем по договору, ФИО таких физлиц и наименование юрлиц нужно указать в уведомлении.
❗ Внимание
Уведомление в Роскомнадзор подавать не требуется, если компания не использует средства автоматизации при обработке данных. Например, когда для выдачи пропуска данные записываются вручную на бумажный носитель.
Закрытый клуб
Вступайте в клуб Деловая среда Премиум и получите доступ к знаниям о развитии бизнеса
Попробовать бесплатно на 14 днейКогда работодатель вправе собирать персональные данные
В соответствии с 152-ФЗ, если субъект — получатель выгоды и сведения о нем требуются для исполнения соглашения (договора), согласия субъекта не требуется. Под этот пункт попадают трудовые договора. Но если наймодатель запрашивает информацию, которая не влияет на исполнение договора, например контакты, то для ее сбора согласие работника необходимо.
Трудовой кодекс обязывает работодателей предоставлять сотрудникам политику персональных данных. Сотрудники вправе понимать, что за данные у них берут, для чего, кто и как их будет обрабатывать. Каждый новый сотрудник должен поставить подпись в документе — Положении о хранении и использовании персональных данных.
В положении указывают:
личные сведения, с которыми работают официальные лица;
категории субъектов данных;
способы и сроки обработки данных;
порядок допуска к данным;
процедуру передачи данных внутри и вне компании;
реестр людей, кому внутри компании доступны персональные данные;
список мест, где хранятся личные сведения;
порядок уничтожения данных.
За обработку данных отвечает назначенный сотрудник. Он должен подчиняться руководителю компании, иметь возможность давать указания руководителям подразделений в рамках защиты конфиденциальной личной информации.
Когда точно нужно согласие работника:
если работник предоставляет свои личные сведения через третью сторону;
если нужно запросить информацию о работнике в другой организации.
В ряде случаев работодателю приходится запрашивать у сотрудников сведения о супругах и детях. Это происходит, когда в компании оформляют документы, касающиеся налоговых вычетов и пособий для женщин с маленькими детьми, или вносят изменения в документы сотрудника, потому что он сменил фамилию или имя.
В таких ситуациях предоставлять согласие должны и совершеннолетние родственники сотрудников. Чтобы наймодатель мог работать с данными несовершеннолетних детей, согласие за них дают родители — сотрудники компании.
Для передачи сведений третьей стороне у работника также запрашивают согласие. Но оно не нужно, если личную информацию нужно представить, чтобы предотвратить опасность жизни и самочувствию, а также когда данные передаются:
фондам — пенсионному, социального страхования;
банкам, с которыми ведется зарплатный проект;
третьему лицу, если у работодателя есть доверенность на представление интересов сотрудника;
при утверждении коллективного договора — в нем должна быть форма согласия на обработку персональных данных.
❗️ Внимание
Если планируется вести видеонаблюдение или как-то еще контролировать работников — такое право зафиксировано в статье 22 Трудового кодекса, — работодатель издает внутренний документ, в котором перечисляются все формы контроля. С ним необходимо ознакомить всех сотрудников и собрать их подписи.
Как разработать форму согласия на обработку персональных данных
Форма для размещения на веб-ресурсе или для письменного заполнения может быть составлена на основании форм других компаний. Однако полностью копировать чужую форму недопустимо.
Компаниям разрешается опираться на основную структуру подобных форм и формулировки из федерального закона 152-ФЗ, создавая свой документ. Так, согласие на обработку персональных данных Деловой среды доступно на сайте dasreda.ru.
Фрагмент согласия Деловой среды на обработку персональных данных
Согласно последним изменениям в законе о персональных данных, вступившим в силу с 1 сентября 2022 года, согласие на обработку персональных данных должно быть предметным и однозначным. Организация, собирающая данные, должна разъяснить субъекту, какие последствия наступят, если он откажется предоставить личные данные или согласие на их обработку.
Если предполагается использовать онлайн-форму, согласие можно получать, прося пользователей ставить галочку рядом с фразой: «Даю согласие на обработку своих персональных данных» или аналогичной. Такая форма должна ссылаться на опубликованную политику, касающуюся обработки персональных данных, и сведения о реализуемых мерах по их защите. При отсутствии политики оператора оштрафуют.
Важное правило — согласие должно быть информативным, подтверждать, что человек действительно соглашается и осознает, для чего представляет сведения о себе и как они будут использоваться. Если человек ничего не делает в ответ на просьбу подписать документ, такое молчание нельзя рассматривать как знак согласия.
Автор: Ксения Воловик
Сервис по регистрации бизнеса от Деловой среды
Мечтаете о своем бизнесе? Зарегистрируйте ИП или ООО удаленно и бесплатно
Подать заявку онлайн