Персональные данные – одна из актуальных тем для многих руководителей организаций. Многочисленные требования законодательства в этой области порой не совсем понятны и вызывают вопросы. Как работать с персональными данными сотрудников ДОУ, воспитанников и их родителей? Есть ли необходимость работать в рамках закона о персональных данных при осуществлении госзакупок?
Что такое персональные данные?
К персональным данным лица относится любая информация о нем, например, его ФИО, сведения о его заболеваниях, о прежних местах работы и тому подобное. Даже фотоснимки, видеозапись, на которых изображен человек, является его конфиденциальной информацией.
Какая работа проводится с персональными данными?
При приеме на работу сотрудников, заключении договоров с родителями воспитанников, осуществлении государственных закупок у дошкольной организации возникает потребность осуществлять различные операции с персональными данными. Нормами закона выделен достаточно большой перечень возможных действий с личными данными. Отметим лишь часть из них:
- сбор;
- запись;
- хранение;
- уточнение;
- распространение;
- систематизация.
В целом все эти действия можно назвать обработкой персональных данных. При этом не важно, используется ли в организации система автоматизации для обработки указанной информации или нет, работа с ней в любом случае будет подпадать под действие ФЗ от 27.07.2006 № 152 О персональных данных.
Особенности обработки персональных данных работников
При оформлении трудовых отношений с сотрудниками работодатель вынужден работать с их персональными данными. Так, согласно ст. 60 ТК РФ, работодатель должен при приеме сотрудника обрабатывать его личные данные, содержащиеся в следующих документах:
- паспорте;
- трудовой книжке;
- пенсионном свидетельстве;
- дипломе об образовании (или другом документе, подтверждающем наличие необходимого образования);
- других документах (при необходимости).
Где можно получать сведения о сотрудниках?
Работодатель имеет право получать персональные данные о работнике только лично от него. Если по тем или иным причинам необходимая информация не может быть получена непосредственно от сотрудника, а необходимо прибегать к помощи третьей стороны, то сделать это возможно с согласия работника.
В этой ситуации необходимо заранее письменно уведомить сотрудника о получении его персональных данных у третьей стороны и запросить его письменное согласие на это. В данном уведомлении должна содержаться следующая информация:
- цели, источники и способы получения информации о сотруднике;
- характер персональных данных;
- последствия для работника в случае его отказа от дачи согласия.
Форма уведомления о запросе персональных данных у третьей стороны, а также письменного согласия сотрудника на такой запрос законом не установлена. Поэтому указанные документы можно составлять в свободной форме.
Обратите внимание! На работодателя возложена обязанность ознакомить каждого принимаемого на работу сотрудника с внутренними документами, в которых установлен порядок обработки персональных данных сотрудников, а также права и обязанности работников в этой области.
Важно, чтобы у работодателя осталось подтверждение факта ознакомления работников с данными документами. Например, можно просить сотрудника расписаться в журнале ознакомления с локальными актами организации, где будет указано, с каким конкретно документом ознакомлен сотрудник, дата ознакомления, его ФИО и должность.
Нужно ли получать согласие сотрудника на обработку его персональных данных?
По общему правилу любая работа с конфиденциальной информацией требует получения согласия её владельца. Но законодательство о персональных данных содержит и исключения, которые позволяют обрабатывать указанные данные без согласия сотрудника.
Относительно персональной информации работников можно выделить следующие ситуации, когда можно обойтись без согласия. Не нужно запрашивать согласия, если обработка персональных данных связана:
- с осуществлением сотрудником трудовой деятельности в рамках трудового договора;
- с обязанностью в силу закона размещать персональные данные своих сотрудников в сети Интернет. Согласно законодательству об образовании на официальном сайте образовательного учреждения должны быть отражены персональные данные учредителя организации, руководителя, педагогов. В этой ситуации нет необходимости требовать согласия на размещение в сети Интернет персональных данных, которые указаны в нормативных актах, в рамках исполнения указанной обязанности;
- с заполнением личной карточки работника в отношении информации об их близких родственниках и строго в том объеме, который предусмотрен унифицированной формой такого документа. Также можно обрабатывать персональные данные родственников без их согласия, если это требуется для получения алиментов или социальных пособий;
- с получением информации, относящейся к специальной категории персональных данных, в рамках трудового законодательства. Например, необходимо получить информацию о состоянии здоровья сотрудника в целях выявления возможности выполнения им своих трудовых функций;
- с передачей информации о сотрудниках третьим лицам в целях предупреждения угрозы жизни и здоровья, например, когда происходит несчастный случай в организации;
- с передачей личных данных третьим лицам для исполнения обязанностей в соответствии с трудовым законодательством или другими законами. Например, не требуется согласия сотрудника при обращении в ФСС РР, в ПФР РФ, в органы воинского учета и тому подобное;
- для осуществления пропускного режима, если такой режим осуществляется организацией самостоятельно либо предусмотрен в локальных нормативных актах;
- с передачей данных банку, который обслуживает зарплатные карты сотрудников. В этой ситуации важно наличие одного из следующих условий: договор на выпуск карты заключен с работником и в нем указано положение о передаче данных работодателем; у работодателя имеется доверенность от работника на оформление карты; коллективный договор содержит условие о подобной форме и системе оплаты труда.
Обратите внимание! Если речь идет о замещении вакантной должности, то обработка персональных данных соискателя должна осуществляться только с их согласия.
Указанные выше выводы сделаны на основе норм законодательства о персональных данных и Разъяснений Роскомнадзора от 14 декабря 2012 года.
Во всех остальных случаях необходимо получать согласие сотрудника на обработку его личных данных. Так, например, работодатель решил отказаться от самостоятельного ведения бухгалтерского учета и заключил соглашение на оказание услуг по данному направлению со сторонней компанией. В этой ситуации передача личной информации сотрудников требует обязательного получения от них письменного согласия.
Возможно, в организации решили поощрить сотрудников каким-либо образом – разместить их фото на доске почета, сделать подарок в виде кружки, футболки или книги с фото сотрудника или подарить другой именной подарок. В подобных ситуациях происходит передача персональных данных сотрудника, которая не связана с исполнением трудового законодательства. Поэтому и в этом случае потребуется согласие работника.
Как составить согласие на обработку персональных данных?
Законом не установлена форма подобного документа, но в ч. 4 ст. 9 ФЗ о персональных данных отражена обязательная информация, которая должна там содержаться:
- ФИО и реквизиты паспорта субъекта персональных данных (или представителя с указанием реквизитов доверенности или другого документа, подтверждающего полномочия);
- название и адрес организации, которая занимается обработкой конфиденциальной информации;
- цель обработки персональных данных (например, заказ именных подарков сотрудникам компании);
- перечень личных данных, которые предстоит обрабатывать;
- название и адрес компании, которая будет непосредственно обрабатывать персональные данные, если эта работа передается третьему лицу (например, магазин фототехники при заказе именных подарков сотрудникам);
- перечень действий, которые могут быть совершены с персональными данными;
- срок действия согласия и порядок его отзыва;
- подпись субъекта персональных данных (например, сотрудника организации).
Что делать, если сотрудник не дает согласия на обработку персональных данных?
Как мы видим, в большинстве случаев, связанных с трудовыми отношениями и исполнением своих обязанностей, работодателю не требуется получать согласие сотрудника на обработку персональных данных. Тем не менее, в процессе взаимодействия работника и работодателя нередко возникают ситуации, когда требуется получить письменное согласие. Как же быть руководителю ДОУ, если работник отказался предоставить такое согласие? В этой ситуации работник имеет полное право отказать в даче такого согласия. В случае, когда сотрудник отказывается дать согласие на обработку своей личной информации, работодатель не имеет права обрабатывать её, например, передавать третьим лицам.
Обратите внимание! Отказ от дачи согласия не является нарушением трудовой дисциплины, и работник не может быть привлечен за это к ответственности.
Работа с персональными данными воспитанников и их родителей
Обработка личной информации воспитанников и их родителей во многом схожа с таковой в отношении сотрудников. Случаи, когда не требуется получения согласия от родителей на работу с личными данными их самих и их детей, аналогичны указанным выше для работников организации.
Так, например, не нужно требовать от родителей согласие на обработку их данных, которые были получены при заключении договора по присмотру и уходу за ребенком, и используется ДОУ для исполнения данного договора.
Кроме того, не нужно согласия родителей на обработку информации о воспитанниках, которая была получена при поступлении в ДОУ согласно нормам приказа Минобрнауки РФ о порядке приема в дошкольную организацию (от 08.04.2014 N 293):
- ФИО ребенка;
- дата и место его рождения;
- адрес места жительства.
Также в рамках указанного нормативного акта ДОУ вынуждено обрабатывать персональную информацию ребенка, содержащуюся в свидетельстве о его рождении, в медицинских документах.
Тем не менее, существуют ситуации, когда для обработки персональных данных воспитанников, их родителей и иных лиц необходимо получать согласие. Приведем некоторые примеры:
- размещение фотографий и видеофайлов на сайте ДОУ с изображением детей;
- передача третьим лицам фотографий детей для подготовки фотоальбома;
- получение доверенностей, паспортных данных близких родственников или других лиц в целях передачи ребенка указанным лицам после завершения рабочего дня, когда сами родители не могут забрать ребенка. В этой ситуации необходимо получать согласие указанных лиц на обработку их персональных данных.
В согласие родителей (представителей ребенка) также необходимо включать сведения, которые были указаны для согласия сотрудников организации.
Государственные закупки и персональные данные
Минэкономразвития РФ в своем письме от 08.04.2015 года № Д28и-980 выразило позицию, согласно которой не нужно получать согласие на обработку персональных данных, полученных в рамках 44-ФЗ. Так, например, при заключении контракта с индивидуальным предпринимателем, в реестр контрактов необходимо включить следующие персональные данные лица: ФИО, место жительства. Такая обязанность предусмотрена п. 7 ч.2 ст. 103 закона о госзакупках. А согласно закону о персональных данных обработка информации о лице допускается без его согласия, если она осуществляется в случаях, предусмотренных федеральным законам. К ним и относится закон о госзакупках.
В каких случаях нужно уведомлять Роскомнадзор о работе с персональными данными?
Согласно нормам ФЗ о персональных данных, организация, которая работает с конфиденциальной информацией, обязана уведомить об этом Роскомнадзор. Вместе с тем, закон содержит и исключения из данного правила, если обработка персональных данных связана:
- с выполнением обязательств в рамках трудового законодательства;
- с заключением договора, в качестве одной из сторон которого выступает субъект персональных данных (например, сотрудник, представитель воспитанника). Важно, чтобы указанные данные не распространялись и не передавались другим лицам без согласия самого человека, а использовались только для исполнения договора;
- с данными, которые сам человек сделал общедоступными;
- только с ФИО человека;
- с необходимостью однократного пропуска человека на территорию организации.
Если же в силу закона на организацию возложена обязанность уведомить Роскомнадзор об осуществлении обработки персональных данных, то при его составлении следует руководствоваться ч. 3 ст. 22 ФЗ о персональных данных. Пример заполненного уведомления Роскомнадзора можно найти на их официальном сайте.
Форму уведомления можно найти в Приказе Минкомсвязи России от 21.12.2011 N 346 (приложение № 2), а рекомендации по его заполнению содержаться во Временных рекомендациях по заполнению формы, утвержденных Роскомнадзором 30.12.2014 года.
Приложения:
Автор статьи: Ирина Добрынина, юрист
Похожие материалы:
P.S. Ваш лайк вдохновляет нас на новые статьи.