Обработка персданных исполнителей по ГПД

Ситуация: нужно ли получать письменное согласие на обработку персональных данных граждан, с которыми заключены гражданско-правовые договоры

Да, в общем случае нужно, в том же порядке, как и со штатными сотрудниками.

Обработка персональных данных возможна только с письменного согласия субъекта персональных данных, за исключением отдельных случаев, когда такая обработка возможна и без их согласия (ст. 6 Закона от 27.07.2006 № 152-ФЗ). При этом субъектами персональных данных могут быть как сотрудники, работающие по трудовому договору, так и граждане, с которыми у организации заключены гражданско-правовые договоры.

Таким образом, организация в общем случае должна получить согласие на обработку персональных данных в том числе и граждан, с которыми заключены гражданско-правовые договоры, чтобы исключить любые споры по поводу несанкционированной передачи данных за пределами действия условий гражданско-правового договора.

Отказ исполнителя давать такое согласие, это не является препятствием для заключения гражданско-правового договора.

Обработка данных без согласия

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Об этом сказано в статье 6 Закона от 27.07.2006 № 152-ФЗ.

К таким случаям относится передача сведений:

· в ПФР (ст. 9 Закона от 01.04.1996 № 27-ФЗ);

· ФНС (ст. 24 НК);

· военные комиссариаты (ст. 4 Закона от 28.03.1998 № 53-ФЗ);

· иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

· обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети интернет (например, Законом от 21.11.2011 № 323-ФЗ, Законом от 09.02.2009 № 8-ФЗ и рядом иных актов);

· проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;

· обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;

· обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;

· обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14.12.2012.

Также работодателю следует помнить, что не требуется получать согласиеуволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство оперсональных данных и на материалы, переданные в архивную организациюдля архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных.

Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзораот 14.12.2012.

Все возможные случаи, когда согласие на обработку персональных данных нетребуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27.07.2006 № 152-ФЗ.

Передача данных в банк

Ситуация: нужно ли уведомлять и получать согласие сотрудников на передачу их персональных данных в банк для оформления зарплатных карт. Организация переходит на выплату зарплаты на банковские карты.

Да, нужно, при этом в отдельных случаях работодатель сможет передать такие данные и без согласия сотрудника.

Оформить письменное согласие сотрудника на обработку персональных данных можно при приеме на работу. При этом в дальнейшем сотрудник сможет отозвать свое согласие. Однако даже при отозванном согласии работодатель вправе продолжить обработку персональных данных сотрудников, если такая обработка требуется в рамках договоров, заключенных с ними (ч. 2 ст. 9 Закона от 27.07.2006 № 152-ФЗ). С учетом указанного возможны следующие варианты.

Если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник согласен получать деньги на карту и при приеме на работу ознакомлен с этими документами, то при переходе на выплату зарплаты на банковские карты работодатель вправе обрабатывать данные и без согласия сотрудника. Объясняется это тем, что обработка таких данных предусмотрена в рамках заключенного трудового договора, за выполнение обязанностей по которому сотруднику должна быть выплачена зарплата на банковскую карту в соответствии с положениями локального документа о порядке выплаты. То есть работодатель будет действовать в интересах самого сотрудника в рамках заключенного с ним договора (ч. 2 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Если же в локальном документе предусмотрены варианты расчетов с сотрудниками или вообще данный момент не прописан, то сотрудники вправе самостоятельно решить, получать им зарплату через кассу или на банковскую карту. Важны условия трудового договора. В локальном акте работодателя можно прописать порядок действий, если все согласны, и постоянно заручаться согласием вновь поступивших.

Ситуация: нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты

Нет, не нужно, при условии, что в уже имеющихся согласиях не был указан конкретный банк, в который предоставляли данные. Если же предыдущее согласие было составлено под конкретный банк, то работодателю придется получить новое согласие по общим правилам (ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Кроме того, получать согласие не нужно, если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник при приеме или в процессе работы был ознакомлен с этими документами (ч. 2 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Передача данных в профсоюз

Ситуация: нужно ли уведомлять и получать согласие сотрудников на передачу их персональных данных профсоюзу на проверку

Нет, не нужно.

Профсоюзы вправе контролировать работодателей по вопросам соблюдения трудового законодательства. При такой проверке они знакомятся с информацией, относящейся к персональным данным, в том числе путем получения соответствующих документов работодателя. Однако эти действия профсоюза необходимы для осуществления профессионального контроля за соблюдением трудового законодательства, прямо предусмотрены законодательством и потому не требуют уведомления и получения согласия сотрудников на передачу их персональных данных.

При этом представители профсоюза, получившие документы, содержащие персональные данные сотрудников, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были представлены. Такие выводы следуют из совокупности положений статей 86, 88, части 1 статьи 370 ТК, пункта 2 части 1 статьи 6 Закона от 27.07.2006 № 152-ФЗ и подтверждается письмом Роскомнадзора от 27.06.2011 № ШР-13444.

Ситуация: обязан ли работодатель передавать оператору связи сведения о сотрудниках, которые имеют доступ к Интернету на рабочем месте

Да, обязан.

Все работодатели, включая индивидуальных предпринимателей, должны передавать оператору связи, который предоставляет им доступ к Интернету, список сотрудников, использующих ресурсы Интернета на рабочем месте. Такая обязанность установлена Правилами, утвержденными постановлением Правительства от 10.09.2007 № 575.

Работодатель указывает в списке, представляемом оператору связи, следующие персональные данные сотрудников, которые используют Интернет на рабочем месте:

· фамилию, имя, отчество;

· местожительство;

· реквизиты документа, удостоверяющего личность.

Данный список должен быть заверен руководителем организации, либо уполномоченным им лицом, или индивидуальным предпринимателем. При этом список нужно обновлять не реже одного раза в квартал. Обязанность по представлению списка, а также конкретные сроки его представления должны быть зафиксированы в договоре, заключенном между работодателем и оператором связи (п. 22.1 Правил, утв. постановлением Правительства от 10.09.2007 № 575).

Следует учесть, что работодатель может передавать такие персональные данные сотрудников оператору связи без получения их согласия. Объясняется это следующим. Согласие сотрудника на обработку его персональных данных не требуется, если такая обработка необходима для выполнения работодателем возложенных на него законодательством функций, полномочий и обязанностей в качестве оператора персональных данных. Поскольку обязанность по передаче оператору связи персональных данных сотрудников, использующих доступ в Интернет, установлена нормативно-правовым актом, то получать их согласие на такую передачу не нужно. Такие правила предусмотрены подпунктом 2 пункта 1 статьи 6 Закона от 27.07.2006 № 152-ФЗ.

Уведомление Роскомнадзора

До начала обработки персональных данных сотрудников работодатель должен уведомить территориальное подразделение Роскомнадзора о намерении обрабатывать данные. Исключение составляют случаи обработки персональных данных, которые:

· обрабатываете в соответствии с трудовым законодательством;

· сотрудники сделали общедоступными;

· получили в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);

· относятся к членам (участникам) общественного объединения или религиозной организации;

· включают в себя только фамилии, имена и отчества сотрудников;

· необходимы в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;

· включены в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

· обрабатываете без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

· обрабатываете в случаях, предусмотренных законодательством России о транспортной безопасности.

Об этом говорится в частях 1 и 2 статьи 22 Закона от 27.07.2006 № 152-ФЗ.

Форма уведомления о намерении обрабатывать персональные данные, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30.05.2017 № 94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27.07.2006 № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального подразделения Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Если работодатель прекращает обрабатывать персональные данные, об этом также нужно уведомить Роскомнадзор. Срок – в течение 10 рабочих дней с момента прекращения обработки данных (ч. 7 ст. 22 Закона от 27.07.2006 № 152-ФЗ). Форма заявления о прекращении обработки данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30.05.2017 № 94.

Ситуация: что следует понимать под обработкой персональных данных сотрудника

Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации.

В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений пункта 3 статьи 3 Закона от 27.07.2006 № 152-ФЗ.

Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.

Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в пункте 6 положения, утвержденного постановлением Правительства от 15.09.2008 № 687, статье 22.1 Закона от 27.07.2006 № 152-ФЗ.

Работодатель вправе поручить обработку персональных данных сторонней организации. Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке (ч. 3 ст. 6 Закона от 27.07.2006 № 152-ФЗ, п. 3 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает руководитель организации. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Также нужно назначить ответственного по работе с персональными данными. Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Ответственного за работу с персональными данными назначьте приказом в произвольной форме (ч. 5 ст. 88 ТК).

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27.07.2006 № 152-ФЗ и требованиях, утвержденных постановлением Правительства от 01.11.2012 № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

· уничтожение;

· изменение;

· блокирование;

· копирование;

· предоставление;

· распространение;

· иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.

Работодатель выбирает конкретные средства защиты информации для информационной системы обработки персональных данных в соответствии с нормативно-правовыми актами ФСБ и ФСТЭК. Определяйте типы угроз безопасности персональных данных, которые актуальны для системы обработки и защиты персональных данных, с учетом оценки возможного вреда и в соответствии с нормативными актами ФБС и ФСТЭК (п. 4, 7 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК от 18.02.2013 № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 требований, утв. постановлением Правительства от 01.11.2012 № 1119).