Защита персональных данных при их обработке: рекомендации Роскомнадзора от 8 августа 2023 года
Ведомство советует операторам:
● минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны;
● раздельно хранить личные сведения клиентов, работников, соискателей и т.д.;
● не накапливать личную информацию на всякий случай и не формировать профили клиентов, если это не жизненно важно оператору;
● хранить идентификаторы человека (Ф.И.О., электронную почту, телефон, адрес) и данные о взаимодействии с ним (информацию об оказании услуг и продаже товаров, переписку, договоры и пр.) в базах данных, которые напрямую не связаны друг с другом.
Роскомнадзор выпустил эти и другие рекомендации из-за того, что в последнее время стало больше случаев незаконного распространения персональных данных. Он сформулировал меры с учетом анализа утечек. #персданные
Документ: Информация Роскомнадзора от 08.08.2023
© КонсультантПлюс
Ведомство советует операторам:
● минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны;
● раздельно хранить личные сведения клиентов, работников, соискателей и т.д.;
● не накапливать личную информацию на всякий случай и не формировать профили клиентов, если это не жизненно важно оператору;
● хранить идентификаторы человека (Ф.И.О., электронную почту, телефон, адрес) и данные о взаимодействии с ним (информацию об оказании услуг и продаже товаров, переписку, договоры и пр.) в базах данных, которые напрямую не связаны друг с другом.
Роскомнадзор выпустил эти и другие рекомендации из-за того, что в последнее время стало больше случаев незаконного распространения персональных данных. Он сформулировал меры с учетом анализа утечек. #персданные
Документ: Информация Роскомнадзора от 08.08.2023
© КонсультантПлюс
❓Относятся ли сведения о заработной плате к персональным данным или к коммерческой тайне?
Сведения о заработной плате являются персональными данными, поскольку персональные данные — это любая информация, которая относится к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 Закона о персональных данных). Такие же разъяснения дает Роскомнадзор (Письмо от 07.02.2014 N 08КМ-3681).
Перечень сведений, в отношении которых не может быть установлен режим коммерческой тайны, установлен ст. 5 Федерального закона N 98-ФЗ. В частности, коммерческую тайну не могут составлять сведения о численности, о составе работников, о системе оплаты труда.
Таким образом, заработная плата входит в понятие системы оплаты труда, а значит, эти сведения также нельзя отнести к коммерческой тайне. #зарплата #персданные
Источник: respectrb.ru
Сведения о заработной плате являются персональными данными, поскольку персональные данные — это любая информация, которая относится к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 Закона о персональных данных). Такие же разъяснения дает Роскомнадзор (Письмо от 07.02.2014 N 08КМ-3681).
Перечень сведений, в отношении которых не может быть установлен режим коммерческой тайны, установлен ст. 5 Федерального закона N 98-ФЗ. В частности, коммерческую тайну не могут составлять сведения о численности, о составе работников, о системе оплаты труда.
Таким образом, заработная плата входит в понятие системы оплаты труда, а значит, эти сведения также нельзя отнести к коммерческой тайне. #зарплата #персданные
Источник: respectrb.ru
Роструд ответил, можно ли хранить в личном деле работника копию его паспорта
Работодатель получил от работника согласие на обработку персональных данных. Может ли он хранить в личном деле сотрудника копии его личных документов — паспорта, диплома об образовании, ИНН, СНИЛС и т.п.? На этот вопрос ответили специалисты Роструда на сайте «Онлайнинспекция.рф».
Как отмечают в ведомстве, в настоящее время порядок ведения личных дел работников нормами действующего законодательства не установлен. При этом работодатель вправе обрабатывать личные данные сотрудников только с их письменного согласия (ст. 11 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»).
На этом основании в Роструде полагают, что организация может хранить копии личных документов сотрудников. Но только в том случае, если они в письменной форме дали свое согласие. При отсутствии письменного согласия копии личных документов должны быть возвращены сотрудникам или уничтожены. #персданные
Источник: buhonline.ru
Работодатель получил от работника согласие на обработку персональных данных. Может ли он хранить в личном деле сотрудника копии его личных документов — паспорта, диплома об образовании, ИНН, СНИЛС и т.п.? На этот вопрос ответили специалисты Роструда на сайте «Онлайнинспекция.рф».
Как отмечают в ведомстве, в настоящее время порядок ведения личных дел работников нормами действующего законодательства не установлен. При этом работодатель вправе обрабатывать личные данные сотрудников только с их письменного согласия (ст. 11 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»).
На этом основании в Роструде полагают, что организация может хранить копии личных документов сотрудников. Но только в том случае, если они в письменной форме дали свое согласие. При отсутствии письменного согласия копии личных документов должны быть возвращены сотрудникам или уничтожены. #персданные
Источник: buhonline.ru
⚖️ Третий кассационный СОЮ уточнил, когда можно уволить сотрудника
Компания прекратила трудовые отношения из-за пересылки работником сведений о персональных данных клиентов с рабочей электронной почты на личную.
Пресс-служба третьего кассационного суда общей юрисдикции сообщила о результатах рассмотрения спора о восстановлении на работе.
Бывший сотрудник обратился с иском к компании, в котором просил восстановить его на работе в должности вице-президента по международным продажам. Истец, занимая указанную должность, 31 января 2022 года направил с рабочей электронной почты на личную почту служебные документы. Работодатель из-за этого уволил заявителя.
Работник с расторжением трудового договора не согласился и пошел в суд.
Октябрьский районный суд Санкт-Петербурга и вслед за ним Санкт-Петербургский городской суд в удовлетворении иска отказали. Суды указали, что в файлах, направленных истцом на личную электронную почту, содержались сведения нескольких тысяч клиентов и нескольких десятков работников общества.
Эту информацию можно использовать для мошенничества с персональными данными, похищения денег, передачи конкурентам или иных неправомерных целях. Кроме того, сведения содержали коммерческую тайну предприятия. При таких обстоятельствах ответчик имел право в качестве наказания уволить истца.
Кассация с выводами двух нижестоящих инстанций согласилась и оставила кассационную жалобу без удовлетворения. #персданные #увольнение
Источник: ПРАВО.Ru
Компания прекратила трудовые отношения из-за пересылки работником сведений о персональных данных клиентов с рабочей электронной почты на личную.
Пресс-служба третьего кассационного суда общей юрисдикции сообщила о результатах рассмотрения спора о восстановлении на работе.
Бывший сотрудник обратился с иском к компании, в котором просил восстановить его на работе в должности вице-президента по международным продажам. Истец, занимая указанную должность, 31 января 2022 года направил с рабочей электронной почты на личную почту служебные документы. Работодатель из-за этого уволил заявителя.
Работник с расторжением трудового договора не согласился и пошел в суд.
Октябрьский районный суд Санкт-Петербурга и вслед за ним Санкт-Петербургский городской суд в удовлетворении иска отказали. Суды указали, что в файлах, направленных истцом на личную электронную почту, содержались сведения нескольких тысяч клиентов и нескольких десятков работников общества.
Эту информацию можно использовать для мошенничества с персональными данными, похищения денег, передачи конкурентам или иных неправомерных целях. Кроме того, сведения содержали коммерческую тайну предприятия. При таких обстоятельствах ответчик имел право в качестве наказания уволить истца.
Кассация с выводами двух нижестоящих инстанций согласилась и оставила кассационную жалобу без удовлетворения. #персданные #увольнение
Источник: ПРАВО.Ru
Кому работодатель может сообщить персданные сотрудников
ТК РФ запрещает передавать #персданные работника без его письменного согласия (ст. 88 ТК РФ). Однако законодательством предусмотрены исключения. В частности без согласия персонала работодатель должен предоставить личные данные по запросу:
● полиции;
● приставов;
● ЦБ РФ;
● прокуратуры;
● ПФР и НПФ.
Об этом напомнил Роструд.
Источник: Время Бухгалтера
ТК РФ запрещает передавать #персданные работника без его письменного согласия (ст. 88 ТК РФ). Однако законодательством предусмотрены исключения. В частности без согласия персонала работодатель должен предоставить личные данные по запросу:
● полиции;
● приставов;
● ЦБ РФ;
● прокуратуры;
● ПФР и НПФ.
Об этом напомнил Роструд.
Источник: Время Бухгалтера
❓Нужно ли утверждать политику обработки персональных данных в виде отдельного документа?
Утверждать политику обработки персональных данных в виде отдельного документа необязательно.
Работодатель должен обеспечить конфиденциальность персональных данных работников. В связи с этим закон возлагает на оператора персональных данных (работодателя) следующие обязанности (ч. 1 ст. 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных"):
● назначение лица, ответственного за организацию обработки персональных данных;
● издание документов, определяющих политику работодателя в отношении обработки персональных данных работников, локальных актов по вопросам обработки персональных данных, ознакомление работников с ними;
● внутренний контроль и (или) аудит соответствия обработки персональных данных законам и локальным актам работодателя;
● оценка вреда, который может быть причинен работникам в случае нарушения требований по защите персональных данных;
● применение правовых, организационных и технических мер по защите персональных данных.
Роскомнадзор пояснил, что работодатель может урегулировать вопросы, связанные с обработкой персональных данных работников, в одном или нескольких локальных нормативных актах.
Закон № 152-ФЗ не конкретизирует, какой именно документ должен определять политику работодателя в отношении обработки персональных данных. Это может быть, например, Положение о персональных данных или Политика обработки персональных данных. #персданные
Документ: Письмо Роскомнадзора от 29.05.2023 № 08-44457
Источник: its.1c.ru
Утверждать политику обработки персональных данных в виде отдельного документа необязательно.
Работодатель должен обеспечить конфиденциальность персональных данных работников. В связи с этим закон возлагает на оператора персональных данных (работодателя) следующие обязанности (ч. 1 ст. 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных"):
● назначение лица, ответственного за организацию обработки персональных данных;
● издание документов, определяющих политику работодателя в отношении обработки персональных данных работников, локальных актов по вопросам обработки персональных данных, ознакомление работников с ними;
● внутренний контроль и (или) аудит соответствия обработки персональных данных законам и локальным актам работодателя;
● оценка вреда, который может быть причинен работникам в случае нарушения требований по защите персональных данных;
● применение правовых, организационных и технических мер по защите персональных данных.
Роскомнадзор пояснил, что работодатель может урегулировать вопросы, связанные с обработкой персональных данных работников, в одном или нескольких локальных нормативных актах.
Закон № 152-ФЗ не конкретизирует, какой именно документ должен определять политику работодателя в отношении обработки персональных данных. Это может быть, например, Положение о персональных данных или Политика обработки персональных данных. #персданные
Документ: Письмо Роскомнадзора от 29.05.2023 № 08-44457
Источник: its.1c.ru
Работодатель вправе обязать персонал сообщать об изменении персданных
В большом коллективе кадровая служба не всегда вовремя узнает о смене паспорта у работников, рождении детей, заключении брака и т.д. В результате компания подает неверные данные в СФР и ФНС, что в свою очередь грозит штрафами.
Имеет ли право работодатель включить в трудовой договор условия об обязанности сотрудников сообщать при изменении персданных?
На основании положений ст. 57 ТК РФ Роструд ответил на этот вопрос утвердительно. Дело в том, что закон позволяет вносить в трудовой договор допусловия, не ухудшающие положения работников, в том числе их права и обязанности, вытекающие из трудового законодательства и внутренних документов компании. #персданные #трудовойдоговор
Источник: Время Бухгалтера
В большом коллективе кадровая служба не всегда вовремя узнает о смене паспорта у работников, рождении детей, заключении брака и т.д. В результате компания подает неверные данные в СФР и ФНС, что в свою очередь грозит штрафами.
Имеет ли право работодатель включить в трудовой договор условия об обязанности сотрудников сообщать при изменении персданных?
На основании положений ст. 57 ТК РФ Роструд ответил на этот вопрос утвердительно. Дело в том, что закон позволяет вносить в трудовой договор допусловия, не ухудшающие положения работников, в том числе их права и обязанности, вытекающие из трудового законодательства и внутренних документов компании. #персданные #трудовойдоговор
Источник: Время Бухгалтера
Штрафы за обработку персональных данных без согласия с 23 декабря
С 23 декабря 2023 года в силу вступили поправки, внесенные в КоАП РФ, которыми предусмотрено ужесточение ответственности за обработку персональных данных граждан без их согласия.
За какие нарушения усилили ответственность
23 декабря 2023 года вступил в силу Федеральный закон от 12.12.2023 № 589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Он, в частности, предусматривает повышение штрафов за:
• обработку данных без согласия субъекта;
• нарушение требований к содержанию письменного согласия на обработку.
За какие нарушения появилась ответственность
Закон № 589-ФЗ с 23.12.2023 установил для банков, МФЦ и ряда других юрлиц новый состав административного правонарушения – нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе. Штраф за нарушение в области биометрии составит (ст. 13.11.3 КоАП РФ):
• для должностных лиц от 100 тыс. до 300 тыс. рублей;
• для компаний – от 500 тыс. до 1 млн рублей.
Административные дела по таким правонарушениям рассматривают ЦБ РФ и суды, если дело возбуждено Роскомнадзором.
В случае поступления от юрлица, совершившего правонарушение, данных, подтверждающих наличие события нарушения, возбуждать дела можно без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом (ст. 13.11.3, п. 1 ч. 3.5 ст. 28.1 КоАП РФ).
С 23.12.2023 изменились размеры штрафов за обработку персональных данных без письменного согласия субъекта персональных данных на такую обработку и нарушение требований к содержанию такого согласия (ч. 2 ст. 13.11 КоАП РФ):
● для граждан — от 10 тыс. до 15 тыс. рублей;
● для должностных лиц — от 100 тыс. до 300 тыс. рублей;
● для юрлиц — от 300 тыс. до 700 тыс. рублей.
Повысился и штраф за совершение этого нарушения повторно (ч. 2.1 ст. 13.11 КоАП РФ):
● для граждан — с 20 до 30 тыс. рублей;
● для должностных лиц — со 100 до 500 тыс. рублей;
● для ИП — с 300 тыс. до 1 млн рублей;
● для юрлиц — с 500 тыс. до 1, 5 млн рублей.
#персданные
Источник: Время Бухгалтера
С 23 декабря 2023 года в силу вступили поправки, внесенные в КоАП РФ, которыми предусмотрено ужесточение ответственности за обработку персональных данных граждан без их согласия.
За какие нарушения усилили ответственность
23 декабря 2023 года вступил в силу Федеральный закон от 12.12.2023 № 589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Он, в частности, предусматривает повышение штрафов за:
• обработку данных без согласия субъекта;
• нарушение требований к содержанию письменного согласия на обработку.
За какие нарушения появилась ответственность
Закон № 589-ФЗ с 23.12.2023 установил для банков, МФЦ и ряда других юрлиц новый состав административного правонарушения – нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе. Штраф за нарушение в области биометрии составит (ст. 13.11.3 КоАП РФ):
• для должностных лиц от 100 тыс. до 300 тыс. рублей;
• для компаний – от 500 тыс. до 1 млн рублей.
Административные дела по таким правонарушениям рассматривают ЦБ РФ и суды, если дело возбуждено Роскомнадзором.
В случае поступления от юрлица, совершившего правонарушение, данных, подтверждающих наличие события нарушения, возбуждать дела можно без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом (ст. 13.11.3, п. 1 ч. 3.5 ст. 28.1 КоАП РФ).
С 23.12.2023 изменились размеры штрафов за обработку персональных данных без письменного согласия субъекта персональных данных на такую обработку и нарушение требований к содержанию такого согласия (ч. 2 ст. 13.11 КоАП РФ):
● для граждан — от 10 тыс. до 15 тыс. рублей;
● для должностных лиц — от 100 тыс. до 300 тыс. рублей;
● для юрлиц — от 300 тыс. до 700 тыс. рублей.
Повысился и штраф за совершение этого нарушения повторно (ч. 2.1 ст. 13.11 КоАП РФ):
● для граждан — с 20 до 30 тыс. рублей;
● для должностных лиц — со 100 до 500 тыс. рублей;
● для ИП — с 300 тыс. до 1 млн рублей;
● для юрлиц — с 500 тыс. до 1, 5 млн рублей.
#персданные
Источник: Время Бухгалтера
❓В целях осуществления контроля за качеством выполняемых работ работодатель планирует ввести обязательное применение сотрудниками нагрудных видеорегистраторов.
Какие документы необходимо принять в обществе, для того чтобы обеспечить интересы сотрудников и предприятия?
✅ Ответ эксперта службы Правового консалтинга ГАРАНТ:
В настоящее время вопрос о правомерности установки систем видеонаблюдения работодателями и процедура такой установки прямо законодательством не регламентируются.
Суды, как правило, не усматривают в действиях работодателей, установивших на рабочих местах видеонаблюдение (включая портативные видеорегистраторы), нарушения права работников на неприкосновенность частной жизни, мотивируя свои решения тем, что видеозапись не преследует цель вмешательства в частную жизнь работника, его личную, семейную тайну, а лишь фиксирует неисполнение работником его трудовых обязанностей.
Так, например, в одном из дел суд указал, что возложенная на истца обязанность по применению носимого видеорегистратора не является дополнительной работой, требующей отобрания письменного согласия работника на ее выполнение в соответствии со ст. 60.2 ТК РФ. Работодатель вправе требовать от истца выполнения его должностных обязанностей, в том числе с применением видеорегистратора (см. определение СК по гражданским делам Восьмого КСОЮ от 18 января 2022 г. по делу N 8Г-26051/2021[88-1422/2022-(88-23557/2021)]).
Для введения в действие портативных видеорегистраторов на рабочих местах необходимо: принять локальный акт, регламентирующий порядок организации, цели, задачи видеонаблюдения, меры по охране полученных персональных данных, ответственных лиц и т.п.; ознакомить каждого работника с этим локальным актом под подпись; внести соответствующие дополнения в правила внутреннего трудового распорядка и положение о защите, хранении, обработке и передаче персональных данных работников, с которыми также ознакомить всех работников под подпись, т.к. работник имеет право на получение полной достоверной информации об условиях труда и требованиях охраны труда на рабочем месте (ст. 21 ТК РФ).
По нашему мнению, при соблюдении перечисленных условий внедрение видеорегистраторов на рабочих местах не будет противоречить действующему законодательству. #персданные
📄 Более подробно - на ГАРАНТ.РУ
Какие документы необходимо принять в обществе, для того чтобы обеспечить интересы сотрудников и предприятия?
✅ Ответ эксперта службы Правового консалтинга ГАРАНТ:
В настоящее время вопрос о правомерности установки систем видеонаблюдения работодателями и процедура такой установки прямо законодательством не регламентируются.
Суды, как правило, не усматривают в действиях работодателей, установивших на рабочих местах видеонаблюдение (включая портативные видеорегистраторы), нарушения права работников на неприкосновенность частной жизни, мотивируя свои решения тем, что видеозапись не преследует цель вмешательства в частную жизнь работника, его личную, семейную тайну, а лишь фиксирует неисполнение работником его трудовых обязанностей.
Так, например, в одном из дел суд указал, что возложенная на истца обязанность по применению носимого видеорегистратора не является дополнительной работой, требующей отобрания письменного согласия работника на ее выполнение в соответствии со ст. 60.2 ТК РФ. Работодатель вправе требовать от истца выполнения его должностных обязанностей, в том числе с применением видеорегистратора (см. определение СК по гражданским делам Восьмого КСОЮ от 18 января 2022 г. по делу N 8Г-26051/2021[88-1422/2022-(88-23557/2021)]).
Для введения в действие портативных видеорегистраторов на рабочих местах необходимо: принять локальный акт, регламентирующий порядок организации, цели, задачи видеонаблюдения, меры по охране полученных персональных данных, ответственных лиц и т.п.; ознакомить каждого работника с этим локальным актом под подпись; внести соответствующие дополнения в правила внутреннего трудового распорядка и положение о защите, хранении, обработке и передаче персональных данных работников, с которыми также ознакомить всех работников под подпись, т.к. работник имеет право на получение полной достоверной информации об условиях труда и требованиях охраны труда на рабочем месте (ст. 21 ТК РФ).
По нашему мнению, при соблюдении перечисленных условий внедрение видеорегистраторов на рабочих местах не будет противоречить действующему законодательству. #персданные
📄 Более подробно - на ГАРАНТ.РУ